Безбедни ТМП и ТМПФС на ЦентОС 6

Привремени директоријуми као што су /tmp, /var/tmp, и /dev/shmнуде платформу за хакере за покретање скрипти и програма. Ови злонамерни извршни фајлови се користе за злоупотребу или компромитовање вашег сервера. У идеалном случају, /tmpдиректоријум би требало да буде монтиран на сопствену партицију са ограниченим дозволама.

Овај водич је за Вултр кориснике чија конфигурација сервера не укључује монтирани /tmpдиректоријум на сопственој партицији, што ове директоријуме чини несигурним и рањивим. Примена овог водича ће отежати хакерима коришћење ових директоријума.

Напомена: Подразумеване инсталације ЦентОС-а не монтирају /tmpдиректоријум на сопствену партицију.

Пребаците се на почетни директоријум.

 cd /home

Направите датотеку у матичном директоријуму са било којим именом. Овде користимо 'мнтТмп' и креирамо датотеку од 2 ГБ. Ово можете прилагодити својим потребама.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Направите проширени систем датотека за ову датотеку.

 mkfs.ext4  /home/mntTmp

Направите резервну копију тренутног /tmpдиректоријума.

 cp -Rpf /tmp /tmp_backup1

Вратите се у основни директоријум.

 cd /

Креирајте /tmpопцију монтирања за покретање при покретању помоћу уређивача текста.

 nano /etc/fstab

Додајте следеће на дно фстаб датотеке у посебан ред. Затим притисните ентер да бисте се уверили да постоји празан ред испод њега (празан ред је важан да бисте избегли проблеме приликом поновног покретања).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Напомена: Овај носач ће можда морати да се привремено уклони када компајлирате или инсталирате софтвер

Оставите датотеку отвореном јер ће се променити још један ред.

ЦентОС користи привремени фајл систем (тмпфс) у виртуелној меморији под називом "схм". Чини се да је монтиран упркос чињеници да није физички систем датотека. Можемо применити дозволе да обезбедимо схм. Потражите ред у датотеци фстаб са тмпфс и /shm. Замените 'defaults'са 'defaults,nosuid,noexec,nodev'. Сачувајте датотеку.

Сада можете монтирати систем /tmpдатотека.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Подесите дозволе за читање, писање, извршавање.

 chmod 777 /tmp

Проверите да ли постоје грешке при монтажи са новим подешавањима покретања.

 mount -o remount /tmp

Преместите /tmpрезервну копију коју сте креирали назад у монтирани /tmpсистем датотека.

 mv /tmp_backup1/* /tmp/

Уклоните резервну копију коју сте направили.

 rm -Rf /tmp_backup1

Резервна копија /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Уклоните /var/tmpдиректоријум.

 rm -Rf /var/tmp

Направите симболичку везу од /var/tmpдо /tmp.

 ln -s /tmp /var/tmp

Копирајте /var/tmpрезервну копију у /tmp.

 mv /tmp_backup2/* /tmp/

Уклоните резервну копију.

 rm -Rf /tmp_backup2

Опционо

У зависности од специфичног софтвера који користите, можда имате "тмп" директоријум у матичном директоријуму. Можете уклонити овај директоријум и креирати симболичку везу до /tmp. Треба бити опрезан када ово радите јер то може покварити софтвер, посебно софтвер за веб хостинг.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp