Beveilig TMP en TMPFS op CentOS 6

Tijdelijke directories zoals /tmp, /var/tmpen /dev/shmbieden een platform voor hackers om run scripts en programma's. Deze schadelijke uitvoerbare bestanden worden gebruikt om uw server te misbruiken of in gevaar te brengen. Idealiter zou de /tmpdirectory op zijn eigen partitie moeten worden gemount met beperkte rechten.

Deze handleiding is bedoeld voor Vultr-gebruikers wier serverconfiguratie geen gemounte /tmpdirectory op een eigen partitie bevat, waardoor deze directories onveilig en kwetsbaar blijven. Door deze handleiding te implementeren, wordt het voor hackers uiterst moeilijk om deze mappen te gebruiken.

Opmerking: standaard CentOS-installaties mounten de /tmpdirectory niet op zijn eigen partitie.

Ga naar de homedirectory.

 cd /home

Maak een bestand in de homedirectory met een willekeurige naam. Hier gebruiken we 'mntTmp' en maken we een bestand van 2 GB. U kunt dit aanpassen aan uw wensen.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Maak een uitgebreid bestandssysteem voor dit bestand.

 mkfs.ext4  /home/mntTmp

Maak een back-up van uw huidige /tmpdirectory.

 cp -Rpf /tmp /tmp_backup1

Keer terug naar de basismap.

 cd /

Maak de /tmpmontageoptie om bij het opstarten uit te voeren met een teksteditor.

 nano /etc/fstab

Voeg het volgende toe aan de onderkant van het fstab-bestand op een aparte regel. Druk vervolgens op enter om ervoor te zorgen dat er een lege regel onder zit (de lege regel is belangrijk om problemen bij het opnieuw opstarten te voorkomen).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Opmerking: deze mount moet mogelijk tijdelijk worden verwijderd wanneer u software compileert of installeert

Houd het bestand open, want er zal een andere regel worden gewijzigd.

CentOS gebruikt een tijdelijk bestandssysteem (tmpfs) in het virtuele geheugen genaamd "shm". Het lijkt gemount ondanks het feit dat het geen fysiek bestandssysteem is. We kunnen machtigingen toepassen om shm te beveiligen. Zoek naar de regel in het fstab-bestand met tmpfs en /shm. Vervangen 'defaults'door 'defaults,nosuid,noexec,nodev'. Het bestand opslaan.

U kunt nu het /tmpbestandssysteem mounten .

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Stel lees-, schrijf- en uitvoerrechten in.

 chmod 777 /tmp

Controleer op montagefouten met de nieuwe opstartinstellingen.

 mount -o remount /tmp

Verplaats de /tmpgemaakte back-up terug naar het gemounte /tmpbestandssysteem.

 mv /tmp_backup1/* /tmp/

Verwijder de back-up die je hebt gemaakt.

 rm -Rf /tmp_backup1

Maak een back-up /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Verwijder de /var/tmpdirectory.

 rm -Rf /var/tmp

Maak een symbolische link van /var/tmpnaar /tmp.

 ln -s /tmp /var/tmp

Kopieer de /var/tmpback-up naar /tmp.

 mv /tmp_backup2/* /tmp/

Verwijder de back-up.

 rm -Rf /tmp_backup2

Optioneel

Afhankelijk van de specifieke software die u gebruikt, heeft u mogelijk een "tmp" -directory in de homedirectory. U kunt deze map verwijderen en er een symbolische link naar maken /tmp. Wees voorzichtig wanneer u dit doet, omdat dit de software kan breken, met name webhostingsoftware.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp