Amankan TMP dan TMPFS di CentOS 6

Direktori sementara seperti /tmp, /var/tmp, dan /dev/shmmenawarkan sebuah platform bagi hacker untuk menjalankan skrip dan program. Eksekusi berbahaya ini digunakan untuk menyalahgunakan atau membahayakan server Anda. Idealnya /tmpdirektori harus dipasang pada partisi sendiri dengan izin terbatas.

Panduan ini adalah untuk pengguna Vultr yang konfigurasi servernya tidak termasuk /tmpdirektori yang di- mount pada partisi sendiri, yang membuat direktori ini tidak aman dan rentan. Menerapkan panduan ini akan membuat sangat sulit bagi peretas untuk menggunakan direktori ini.

Catatan: Instalasi CentOS default tidak memasang /tmpdirektori pada partisi sendiri.

Ubah ke direktori home.

 cd /home

Buat file di direktori home dengan nama apa pun. Di sini kita menggunakan 'mntTmp' dan membuat file 2GB. Anda dapat menyesuaikan ini sesuai dengan kebutuhan Anda.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Buat sistem file yang diperluas untuk file ini.

 mkfs.ext4  /home/mntTmp

Cadangkan /tmpdirektori Anda saat ini .

 cp -Rpf /tmp /tmp_backup1

Kembali ke direktori dasar.

 cd /

Buat /tmpopsi pemasangan untuk dijalankan saat boot dengan menggunakan editor teks.

 nano /etc/fstab

Tambahkan berikut ini ke bagian bawah file fstab pada baris terpisah. Kemudian tekan enter untuk memastikan ada baris kosong di bawahnya (baris kosong penting untuk menghindari masalah saat me-reboot).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Catatan: Mount ini mungkin perlu dihapus sementara ketika Anda mengkompilasi atau menginstal perangkat lunak

Biarkan file tetap terbuka karena baris lain akan diubah.

CentOS menggunakan file filesem sementara (tmpfs) dalam memori virtual yang disebut "shm". Tampaknya dipasang meskipun fakta bahwa itu bukan sistem file fisik. Kami dapat menerapkan izin untuk mengamankan shm. Cari baris dalam file fstab dengan tmpfs dan /shm. Ganti 'defaults'dengan 'defaults,nosuid,noexec,nodev'. Simpan file.

Anda sekarang dapat me-mount /tmpsistem file.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Atur baca, tulis, jalankan izin.

 chmod 777 /tmp

Periksa apakah ada kesalahan pemasangan dengan pengaturan boot baru.

 mount -o remount /tmp

Pindahkan /tmpcadangan yang Anda buat kembali ke /tmpsistem file yang dipasang .

 mv /tmp_backup1/* /tmp/

Hapus cadangan yang Anda buat.

 rm -Rf /tmp_backup1

Cadangkan /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Hapus /var/tmpdirektori.

 rm -Rf /var/tmp

Buat tautan simbolis dari /var/tmpke /tmp.

 ln -s /tmp /var/tmp

Salin /var/tmpcadangan ke /tmp.

 mv /tmp_backup2/* /tmp/

Hapus cadangan.

 rm -Rf /tmp_backup2

Pilihan

Tergantung pada perangkat lunak spesifik yang Anda gunakan, Anda mungkin memiliki direktori "tmp" di direktori home. Anda dapat menghapus direktori ini dan membuat tautan simbolis ke /tmp. Perawatan harus dilakukan ketika melakukan ini karena dapat merusak perangkat lunak, khususnya perangkat lunak web hosting.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp