Zabezpečte TMP a TMPFS na CentOS 6

Dočasné adresáre ako /tmp, /var/tmp, a /dev/shmponúkajú platformu pre hackerov na spúšťanie skriptov a programov. Tieto škodlivé spustiteľné súbory sa používajú na zneužitie alebo kompromitáciu vášho servera. V ideálnom prípade /tmpby mal byť adresár pripojený na vlastný oddiel s obmedzenými oprávneniami.

Táto príručka je určená pre používateľov Vultr, ktorých konfigurácia servera nezahŕňa pripojený /tmpadresár na vlastnom oddiele, čo ponecháva tieto adresáre nezabezpečené a zraniteľné. Implementácia tejto príručky hackerom mimoriadne sťaží používanie týchto adresárov.

Poznámka: Predvolené inštalácie CentOS nepripájajú /tmpadresár na vlastný oddiel.

Prejdite do domovského adresára.

 cd /home

V domovskom adresári vytvorte súbor s ľubovoľným názvom. Tu používame „mntTmp“ a vytvárame súbor s veľkosťou 2 GB. Môžete to upraviť podľa svojich potrieb.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Vytvorte pre tento súbor rozšírený súborový systém.

 mkfs.ext4  /home/mntTmp

Zálohujte si aktuálny /tmpadresár.

 cp -Rpf /tmp /tmp_backup1

Vráťte sa do základného adresára.

 cd /

Vytvorte /tmpmožnosť pripojenia na spustenie pri zavádzaní pomocou textového editora.

 nano /etc/fstab

Pridajte nasledujúce do spodnej časti súboru fstab na samostatný riadok. Potom stlačte kláves enter, aby ste sa uistili, že je pod ním prázdny riadok (prázdny riadok je dôležitý, aby ste sa vyhli problémom pri reštartovaní).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Poznámka: Toto pripojenie môže byť potrebné dočasne odstrániť, keď kompilujete alebo inštalujete softvér

Nechajte súbor otvorený, pretože sa zmení ďalší riadok.

CentOS používa dočasný súborový systém (tmpfs) vo virtuálnej pamäti s názvom „shm“. Zdá sa, že je pripojený napriek skutočnosti, že nejde o fyzický súborový systém. Môžeme použiť povolenia na zabezpečenie shm. Vyhľadajte riadok v súbore fstab s tmpfs a /shm. Nahradiť 'defaults's 'defaults,nosuid,noexec,nodev'. Uložte súbor.

Teraz môžete pripojiť /tmpsúborový systém.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Nastavte oprávnenia na čítanie, zápis, vykonávanie.

 chmod 777 /tmp

Skontrolujte prípadné chyby pri montáži pomocou nových nastavení zavádzania.

 mount -o remount /tmp

Presuňte /tmpzálohu, ktorú ste vytvorili, späť do pripojeného /tmpsúborového systému.

 mv /tmp_backup1/* /tmp/

Odstráňte zálohu, ktorú ste vytvorili.

 rm -Rf /tmp_backup1

Zálohovať /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Odstráňte /var/tmpadresár.

 rm -Rf /var/tmp

Vytvorte symbolický odkaz od /var/tmpdo /tmp.

 ln -s /tmp /var/tmp

Skopírujte /var/tmpzálohu do /tmp.

 mv /tmp_backup2/* /tmp/

Odstráňte zálohu.

 rm -Rf /tmp_backup2

Voliteľné

V závislosti od konkrétneho softvéru, ktorý používate, môžete mať v domovskom adresári adresár „tmp“. Tento adresár môžete odstrániť a vytvoriť symbolický odkaz na /tmp. Pri tomto postupe by ste mali postupovať opatrne, pretože to môže poškodiť softvér, najmä webhostingový softvér.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp