CentOS 6でのTMPおよびTMPFSの保護

、、などの一時ディレクトリ/tmpは/var/tmp、/dev/shmハッカーがスクリプトやプログラムを実行するためのプラットフォームを提供します。これらの悪意のある実行可能ファイルは、サーバーを悪用または侵害するために使用されます。理想的には、/tmpディレクトリは、制限付きのアクセス許可を持つ独自のパーティションにマウントする必要があります。

このガイドは、サーバー構成に/tmp独自のパーティションにマウントされたディレクトリが含まれていないVultrユーザーを対象としています。このため、これらのディレクトリは安全でなく、脆弱です。このガイドを実装すると、ハッカーがこれらのディレクトリを使用することが非常に困難になります。

注：デフォルトのCentOSインストールでは、/tmpディレクトリを独自のパーティションにマウントしません。

ホームディレクトリに移動します。

 cd /home

ホームディレクトリに任意の名前でファイルを作成します。ここでは、「mntTmp」を使用して2GBファイルを作成しています。これは、ニーズに合わせて調整できます。

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

このファイルの拡張ファイルシステムを作成します。

 mkfs.ext4  /home/mntTmp

現在の/tmpディレクトリをバックアップします。

 cp -Rpf /tmp /tmp_backup1

ベースディレクトリに戻ります。

 cd /

/tmpテキストエディターを使用して、起動時に実行するマウントオプションを作成します。

 nano /etc/fstab

次の行をfstabファイルの一番下の別の行に追加します。次に、Enterキーを押して、その下に空の行があることを確認します（空の行は、再起動時に問題が発生しないようにするために重要です）。

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

注：このマウントは、ソフトウェアをコンパイルまたはインストールするときに一時的に削除する必要がある場合があります

別の行が変更されるので、ファイルを開いたままにします。

CentOSは、「shm」と呼ばれる仮想メモリ内の一時ファイルシステム（tmpfs）を使用します。物理ファイルシステムではないにもかかわらず、マウントされているように見えます。権限を適用して、shmを保護できます。tmpfsおよびでfstabファイル内の行を探します/shm。交換してください'defaults'と'defaults,nosuid,noexec,nodev'。ファイルを保存します。

これで、/tmpファイルシステムをマウントできます。

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

読み取り、書き込み、実行の権限を設定します。

 chmod 777 /tmp

新しいブート設定でマウントエラーがないか確認します。

 mount -o remount /tmp

/tmp作成したバックアップをマウントされた/tmpファイルシステムに戻します。

 mv /tmp_backup1/* /tmp/

作成したバックアップを削除します。

 rm -Rf /tmp_backup1

バックアップし/var/tmpます。

 cp -Rpf var/tmp /tmp_backup2

/var/tmpディレクトリを削除します。

 rm -Rf /var/tmp

から/var/tmpへのシンボリックリンクを作成します/tmp。

 ln -s /tmp /var/tmp

/var/tmpバックアップをにコピーし/tmpます。

 mv /tmp_backup2/* /tmp/

バックアップを削除します。

 rm -Rf /tmp_backup2

オプション

使用している特定のソフトウェアによっては、ホームディレクトリに「tmp」ディレクトリがある場合があります。このディレクトリを削除して、へのシンボリックリンクを作成できます/tmp。ソフトウェア、特にWebホスティングソフトウェアが壊れる可能性があるので、これを行うときは注意が必要です。

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp