Zabezpiecz TMP i TMPFS na CentOS 6

Tymczasowe katalogi, takie jak /tmp, /var/tmpi /dev/shmoferują platformę dla hakerów do uruchamiania skryptów i programów. Te złośliwe pliki wykonywalne służą do nadużywania lub naruszania bezpieczeństwa serwera. Najlepiej /tmpbyłoby, gdyby katalog był montowany na własnej partycji z ograniczonymi uprawnieniami.

Ten przewodnik jest przeznaczony dla użytkowników Vultr, których konfiguracja serwera nie zawiera zamontowanego /tmpkatalogu na własnej partycji, co powoduje, że katalogi te są niepewne i podatne na zagrożenia. Wdrożenie tego przewodnika bardzo utrudni hakerom korzystanie z tych katalogów.

Uwaga: Domyślne instalacje CentOS nie instalują /tmpkatalogu na własnej partycji.

Przejdź do katalogu domowego.

 cd /home

Utwórz plik w katalogu domowym o dowolnej nazwie. Tutaj używamy „mntTmp” i tworzymy plik 2 GB. Możesz to dostosować do swoich potrzeb.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Utwórz rozszerzony system plików dla tego pliku.

 mkfs.ext4  /home/mntTmp

Utwórz kopię zapasową bieżącego /tmpkatalogu.

 cp -Rpf /tmp /tmp_backup1

Wróć do katalogu podstawowego.

 cd /

Utwórz /tmpopcję montażu, aby uruchomić podczas rozruchu za pomocą edytora tekstu.

 nano /etc/fstab

Dodaj następujący tekst na dole pliku fstab w osobnym wierszu. Następnie naciśnij klawisz Enter, aby upewnić się, że pod nim jest pusta linia (pusta linia jest ważna, aby uniknąć problemów podczas ponownego uruchamiania).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Uwaga: To złącze może wymagać tymczasowego usunięcia podczas kompilacji lub instalacji oprogramowania

Pozostaw plik otwarty, ponieważ inna linia ma zostać zmieniona.

CentOS używa tymczasowego systemu plików (tmpfs) w pamięci wirtualnej o nazwie „shm”. Wygląda na zamontowany, mimo że nie jest to fizyczny system plików. Możemy zastosować uprawnienia do zabezpieczenia shm. Poszukaj linii w pliku fstab za pomocą tmpfs i /shm. Wymień 'defaults'się 'defaults,nosuid,noexec,nodev'. Zapisz plik.

Możesz teraz zamontować /tmpsystem plików.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Ustaw uprawnienia do odczytu, zapisu i wykonywania.

 chmod 777 /tmp

Sprawdź, czy nie występują błędy montażu w nowych ustawieniach rozruchu.

 mount -o remount /tmp

Przenieś utworzoną /tmpkopię zapasową z powrotem do zamontowanego /tmpsystemu plików.

 mv /tmp_backup1/* /tmp/

Usuń utworzoną kopię zapasową.

 rm -Rf /tmp_backup1

Utwórz kopię zapasową /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Usuń /var/tmpkatalog.

 rm -Rf /var/tmp

Utwórz dowiązanie symboliczne od /var/tmpdo /tmp.

 ln -s /tmp /var/tmp

Skopiuj /var/tmpkopię zapasową do /tmp.

 mv /tmp_backup2/* /tmp/

Usuń kopię zapasową.

 rm -Rf /tmp_backup2

Opcjonalny

W zależności od używanego oprogramowania, w katalogu domowym może znajdować się katalog „tmp”. Możesz usunąć ten katalog i utworzyć symboliczny link do /tmp. Należy zachować ostrożność, ponieważ może to spowodować uszkodzenie oprogramowania, zwłaszcza oprogramowania do hostingu.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp