Securizați TMP și TMPFS pe CentOS 6

Directoare temporare, cum ar fi /tmp, /var/tmpși /dev/shmoferă o platformă pentru hackeri să ruleze scripturi și programe. Aceste executabile rău intenționate sunt folosite pentru a abuza sau compromite serverul. În mod ideal, /tmpdirectorul ar trebui să fie montat pe propria partiție cu permisiuni limitate.

Acest ghid este destinat utilizatorilor Vultr a căror configurație a serverului nu include un /tmpdirector montat pe propria partiție, ceea ce lasă aceste directoare nesigure și vulnerabile. Implementarea acestui ghid va face extrem de dificil pentru hackeri să folosească aceste directoare.

Notă: Instalațiile CentOS implicite nu montează /tmpdirectorul pe propria partiție.

Modificați în directorul de origine.

 cd /home

Alcătuiește un fișier din directorul de origine cu orice nume. Aici folosim „mntTmp” și creăm un fișier de 2 GB. Puteți ajusta acest lucru în funcție de nevoile dvs.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Creează un sistem de fișiere extins pentru acest fișier.

 mkfs.ext4  /home/mntTmp

Copia de rezervă a /tmpdirectorului curent .

 cp -Rpf /tmp /tmp_backup1

Reveniți la directorul de bază.

 cd /

Creați /tmpopțiunea de montaj pentru a rula la pornire folosind un editor de text.

 nano /etc/fstab

Adăugați următoarele în partea de jos a fișierului fstab pe o linie separată. Apoi apăsați Enter pentru a vă asigura că există o linie goală sub ea (linia goală este importantă pentru a evita să aveți probleme atunci când reporniți).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Notă: Este posibil să fie necesară eliminarea temporară atunci când compilați sau instalați software

Mențineți fișierul deschis, deoarece o altă linie va fi modificată.

CentOS folosește un sistem de fișiere temporare (tmpfs) în memoria virtuală numit „shm”. Apare montat în ciuda faptului că nu este un sistem de fișiere fizice. Putem aplica permisiuni pentru a securiza shm. Căutați linia din fișierul fstab cu tmpfs și /shm. Înlocuiți 'defaults'cu 'defaults,nosuid,noexec,nodev'. Salvați fișierul.

Acum puteți monta sistemul de /tmpfișiere.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Setați citirea, scrierea, executați permisiunile.

 chmod 777 /tmp

Verificați eventualele erori de montaj cu noile setări de pornire.

 mount -o remount /tmp

Mutați /tmpcopia de rezervă pe care ați creat-o în /tmpsistemul de fișiere montat .

 mv /tmp_backup1/* /tmp/

Eliminați backup-ul pe care l-ați creat.

 rm -Rf /tmp_backup1

Backup /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Eliminați /var/tmpdirectorul.

 rm -Rf /var/tmp

Creați o legătură simbolică de /var/tmpla /tmp.

 ln -s /tmp /var/tmp

Copiați /var/tmpbackup în /tmp.

 mv /tmp_backup2/* /tmp/

Eliminați backup-ul.

 rm -Rf /tmp_backup2

facultativ

În funcție de software-ul specific pe care îl utilizați, este posibil să aveți un director „tmp” în directorul de acasă. Puteți elimina acest director și puteți crea un link simbolic /tmp. Trebuie să aveți grijă atunci când faceți acest lucru, deoarece poate rupe software-ul, în special software-ul de găzduire web.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp