TMP و TMPFS را در CentOS 6 ایمن کنید

دایرکتوری موقت مانند /tmp، /var/tmpو /dev/shmارائه یک پلت فرم برای هکرها به اجرای اسکریپت ها و برنامه. این اجرایی مخرب برای سوءاستفاده یا به خطر انداختن سرور شما استفاده می شود. در حالت ایده آل ، /tmpدایرکتوری باید با مجوزهای محدود روی پارتیشن مخصوص خود نصب شود.

این راهنما برای کاربران Vultr است که پیکربندی سرور آنها شامل یک /tmpفهرست راهنما در قسمت داخلی خود نیست ، که این فهرست ها را ناامن و آسیب پذیر می کند. اجرای این راهنما استفاده هکرها از این فهرست ها را برای هکرها بسیار دشوار خواهد کرد.

توجه: نصب های پیش فرض CentOS /tmpدایرکتوری را روی پارتیشن خود سوار نمی کند .

تغییر به فهرست خانه.

 cd /home

یک پرونده را در فهرست خانه با هر نام ایجاد کنید. در اینجا ما از "mntTmp" استفاده می کنیم و یک پرونده 2 گیگابایتی ایجاد می کنیم. شما می توانید این کار را متناسب با نیاز خود تنظیم کنید.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

یک سیستم فایل گسترده برای این پرونده ایجاد کنید.

 mkfs.ext4  /home/mntTmp

از فهرست اصلی خود نسخه پشتیبان تهیه کنید /tmp.

 cp -Rpf /tmp /tmp_backup1

به دایرکتوری پایه برگردید.

 cd /

ایجاد /tmpقابلیت نصب به اجرا در هنگام بوت با استفاده از یک ویرایشگر متن.

 nano /etc/fstab

موارد زیر را در پایین فایل fstab در یک خط جداگانه اضافه کنید. سپس Enter را فشار دهید تا خط خالی در زیر آن وجود داشته باشد (خط خالی برای جلوگیری از بروز مشکلات هنگام راه اندازی مجدد مهم است).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

توجه: هنگام کامپایل یا نصب نرم افزار ممکن است این کوه به طور موقت حذف شود

پرونده را باز نگه دارید زیرا خط دیگری در حال تغییر است.

CentOS از یک فایل پرونده موقت (tmpfs) در حافظه مجازی به نام "shm" استفاده می کند. با وجود این واقعیت که این سیستم پرونده ای فیزیکی نیست ، نصب شده است. ما می توانیم مجوزهایی را برای ایمن سازی shm اعمال کنیم. در پرونده fstab با tmpfs و به دنبال خط بگردید /shm. جایگزین 'defaults'با 'defaults,nosuid,noexec,nodev'. پرونده را ذخیره کنید.

اکنون می توانید /tmpسیستم فایل را سوار کنید.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

خواندن ، نوشتن ، مجوزها را تنظیم کنید.

 chmod 777 /tmp

هرگونه خطای نصب را با تنظیمات بوت جدید بررسی کنید.

 mount -o remount /tmp

حرکت /tmpپشتیبان که شما ایجاد تماس به نصب /tmpسیستم فایل.

 mv /tmp_backup1/* /tmp/

نسخه پشتیبان تهیه شده خود را حذف کنید.

 rm -Rf /tmp_backup1

نسخه پشتیبان تهیه /var/tmpکنید

 cp -Rpf var/tmp /tmp_backup2

/var/tmpدایرکتوری را حذف کنید .

 rm -Rf /var/tmp

یک پیوند نمادین از /var/tmpبه ایجاد کنید /tmp.

 ln -s /tmp /var/tmp

/var/tmpنسخه پشتیبان را کپی کنید /tmp.

 mv /tmp_backup2/* /tmp/

نسخه پشتیبان تهیه کنید.

 rm -Rf /tmp_backup2

اختیاری

بسته به نرم افزار خاصی که از آن استفاده می کنید ، ممکن است یک دایرکتوری "tmp" در فهرست خانه قرار دهید. می توانید این فهرست را حذف کرده و پیوندی نمادین برای آن ایجاد کنید /tmp. هنگام انجام این کار باید مراقب باشید زیرا ممکن است باعث شکستن نرم افزار ، به ویژه نرم افزار میزبانی وب شود.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp