CentOS 6da Güvenli TMP ve TMPFS

Geçici gibi dizinleri /tmp, /var/tmpve /dev/shmçalıştırma komut ve programlara hacker için bir platform sunuyoruz. Bu kötü amaçlı yürütülebilir dosyalar sunucunuzu kötüye kullanmak veya tehlikeye atmak için kullanılır. İdeal olarak, /tmpdizin kendi izinlerine sınırlı izinlerle monte edilmelidir.

Bu kılavuz, sunucu yapılandırması /tmpkendi bölümünde takılı olan bir dizini içermeyen ve bu dizinleri güvensiz ve savunmasız bırakan Vultr kullanıcıları içindir . Bu kılavuzun uygulanması, bilgisayar korsanlarının bu dizinleri kullanmasını oldukça zorlaştıracaktır.

Not: Varsayılan CentOS yüklemeleri /tmpdizini kendi bölümüne monte etmez .

Giriş dizinine geçin.

 cd /home

Giriş dizininde herhangi bir adla bir dosya oluşturun. Burada 'mntTmp' kullanıyor ve 2GB'lık bir dosya oluşturuyoruz. Bunu ihtiyaçlarınıza göre ayarlayabilirsiniz.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Bu dosya için genişletilmiş bir dosya sistemi oluşturun.

 mkfs.ext4  /home/mntTmp

Geçerli /tmpdizininizi yedekleyin .

 cp -Rpf /tmp /tmp_backup1

Temel dizine dönün.

 cd /

/tmpBir metin düzenleyici kullanarak önyüklemede çalıştırmak için montaj seçeneğini oluşturun .

 nano /etc/fstab

Aşağıdakileri ayrı bir satırda fstab dosyasının altına ekleyin. Ardından, altında boş bir satır olduğundan emin olmak için enter tuşuna basın (yeniden başlatma sırasında sorun yaşamamak için boş satır önemlidir).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Not: Yazılımı derlerken veya yüklerken bu bağlantının geçici olarak kaldırılması gerekebilir

Başka bir satır değiştirileceğinden dosyayı açık tutun.

CentOS sanal bellekte "shm" adı verilen geçici bir dosya sistemi (tmpfs) kullanır. Fiziksel bir dosya sistemi olmamasına rağmen takılı görünüyor. Güvenli shm için izinler uygulayabiliriz. Tmpfs ve ile fstab dosyasında satırı arayın /shm. Değiştir 'defaults'ile 'defaults,nosuid,noexec,nodev'. Dosya 'yı kaydet.

Artık /tmpdosya sistemini bağlayabilirsiniz .

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Okuma, yazma, yürütme izinlerini ayarlayın.

 chmod 777 /tmp

Yeni önyükleme ayarlarında montaj hataları olup olmadığını kontrol edin.

 mount -o remount /tmp

/tmpOluşturduğunuz yedeklemeyi takılı /tmpdosya sistemine geri taşıyın .

 mv /tmp_backup1/* /tmp/

Oluşturduğunuz yedeklemeyi kaldırın.

 rm -Rf /tmp_backup1

Yedekle /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

/var/tmpDizini kaldırın .

 rm -Rf /var/tmp

Sembolik bir bağlantı oluşturun /var/tmpiçin /tmp.

 ln -s /tmp /var/tmp

/var/tmpYedeği kopyalayın /tmp.

 mv /tmp_backup2/* /tmp/

Yedeklemeyi kaldırın.

 rm -Rf /tmp_backup2

İsteğe bağlı

Kullandığınız belirli yazılıma bağlı olarak, ana dizinde bir "tmp" dizininiz olabilir. Bu dizini kaldırabilir ve simgesine bağ oluşturabilirsiniz /tmp. Özellikle web barındırma yazılımı olmak üzere yazılımı bozabileceğinden bunu yaparken dikkatli olunmalıdır.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp