Bảo mật TMP và TMPFS trên CentOS 6

Các thư mục tạm thời như /tmp, /var/tmpvà /dev/shmcung cấp một nền tảng cho tin tặc chạy các kịch bản và chương trình. Những mã thực thi độc hại này được sử dụng để lạm dụng hoặc thỏa hiệp máy chủ của bạn. Lý tưởng nhất là /tmpthư mục nên được gắn trên phân vùng riêng của nó với quyền hạn chế.

Hướng dẫn này dành cho người dùng Vultr có cấu hình máy chủ không bao gồm /tmpthư mục được gắn trên phân vùng riêng, khiến các thư mục này không an toàn và dễ bị tấn công. Việc thực hiện hướng dẫn này sẽ khiến tin tặc sử dụng các thư mục này vô cùng khó khăn.

Lưu ý: Cài đặt CentOS mặc định không gắn /tmpthư mục trên phân vùng riêng.

Thay đổi thư mục nhà.

 cd /home

Tạo một tập tin trong thư mục nhà với bất kỳ tên. Ở đây chúng tôi đang sử dụng 'mntTmp' và tạo tệp 2GB. Bạn có thể điều chỉnh điều này cho phù hợp với nhu cầu của bạn.

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

Tạo một hệ thống tập tin mở rộng cho tập tin này.

 mkfs.ext4  /home/mntTmp

Sao lưu /tmpthư mục hiện tại của bạn .

 cp -Rpf /tmp /tmp_backup1

Quay trở lại thư mục cơ sở.

 cd /

Tạo /tmptùy chọn gắn để chạy khi khởi động bằng cách sử dụng trình soạn thảo văn bản.

 nano /etc/fstab

Thêm phần sau vào dưới cùng của tệp fstab trên một dòng riêng biệt. Sau đó nhấn enter để đảm bảo có một dòng trống bên dưới nó (dòng trống rất quan trọng để tránh gặp sự cố khi khởi động lại).

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

Lưu ý: Gắn kết này có thể cần được gỡ bỏ tạm thời khi bạn biên dịch hoặc cài đặt phần mềm

Giữ tập tin mở khi một dòng khác sẽ được thay đổi.

CentOS sử dụng một tệp tạm thời (tmpfs) trong bộ nhớ ảo có tên là "shm". Nó xuất hiện gắn kết mặc dù thực tế rằng nó không phải là một hệ thống tập tin vật lý. Chúng tôi có thể áp dụng quyền để bảo mật shm. Tìm dòng trong tệp fstab với tmpfs và /shm. Thay thế 'defaults'bằng 'defaults,nosuid,noexec,nodev'. Lưu các tập tin.

Bây giờ bạn có thể gắn /tmphệ thống tập tin.

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

Đặt quyền đọc, viết, thực thi quyền.

 chmod 777 /tmp

Kiểm tra bất kỳ lỗi lắp đặt với các cài đặt khởi động mới.

 mount -o remount /tmp

Di chuyển /tmpbản sao lưu mà bạn đã tạo trở lại /tmphệ thống tệp được gắn kết .

 mv /tmp_backup1/* /tmp/

Xóa bản sao lưu mà bạn đã tạo.

 rm -Rf /tmp_backup1

Sao lưu lên /var/tmp.

 cp -Rpf var/tmp /tmp_backup2

Xóa /var/tmpthư mục.

 rm -Rf /var/tmp

Tạo một liên kết tượng trưng từ /var/tmpđến /tmp.

 ln -s /tmp /var/tmp

Sao chép /var/tmpbản sao lưu vào /tmp.

 mv /tmp_backup2/* /tmp/

Hủy bỏ bản sao lưu.

 rm -Rf /tmp_backup2

Không bắt buộc

Tùy thuộc vào phần mềm cụ thể bạn đang sử dụng, bạn có thể có thư mục "tmp" trong thư mục chính. Bạn có thể xóa thư mục này và tạo một liên kết tượng trưng đến /tmp. Cần thận trọng khi thực hiện việc này vì nó có thể phá vỡ phần mềm, đặc biệt là phần mềm lưu trữ web.

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp