在CentOS 6上保护TMP和TMPFS

临时目录，例如/tmp，/var/tmp以及/dev/shm提供黑客运行的脚本和程序的平台。这些恶意可执行文件用于滥用或破坏您的服务器。理想情况下，该/tmp目录应以有限的权限安装在其自己的分区上。

本指南适用于Vultr用户，这些用户的服务器配置/tmp在其自己的分区上不包括已安装目录，这会使这些目录不安全且容易受到攻击。实施本指南将使黑客极难使用这些目录。

注意：默认的CentOS安装不会将/tmp目录安装在其自己的分区上。

转到主目录。

 cd /home

使用任何名称在主目录中创建一个文件。在这里，我们使用“ mntTmp”并创建一个2GB的文件。您可以根据自己的需要进行调整。

 dd if=/dev/zero of=mntTmp bs=1024 count=2000000

为此文件创建扩展文件系统。

 mkfs.ext4  /home/mntTmp

备份当前/tmp目录。

 cp -Rpf /tmp /tmp_backup1

返回到基本目录。

 cd /

/tmp使用文本编辑器创建要在启动时运行的安装选项。

 nano /etc/fstab

将以下内容添加到fstab文件底部的单独一行中。然后按Enter键以确保其下方有一个空行（该空行对于避免重新引导时出现问题很重要）。

 /home/mntTmp   /tmp    ext4    loop,nosuid,noexec,nodev,rw 0 0

注意：编译或安装软件时，可能需要暂时删除此安装架

使文件保持打开状态，因为将要更改另一行。

CentOS在虚拟内存中使用一个名为“ shm”的临时文件系统（tmpfs）。尽管它不是物理文件系统，但似乎已挂载。我们可以将权限应用于安全的shm。在tsffs和fstab文件中查找该行/shm。替换'defaults'为'defaults,nosuid,noexec,nodev'。保存文件。

您现在可以挂载/tmp文件系统。

 mount -o loop,nosuid,noexec,nodev /home/mntTmp /tmp

设置读取，写入，执行权限。

 chmod 777 /tmp

使用新的引导设置检查是否有安装错误。

 mount -o remount /tmp

将/tmp您创建的备份移回已挂载的/tmp文件系统。

 mv /tmp_backup1/* /tmp/

删除您创建的备份。

 rm -Rf /tmp_backup1

备份起来/var/tmp。

 cp -Rpf var/tmp /tmp_backup2

删除/var/tmp目录。

 rm -Rf /var/tmp

创建从/var/tmp到的符号链接/tmp。

 ln -s /tmp /var/tmp

将/var/tmp备份复制到/tmp。

 mv /tmp_backup2/* /tmp/

删除备份。

 rm -Rf /tmp_backup2

可选的

根据所使用的特定软件，主目录中可能会有一个“ tmp”目录。您可以删除此目录并创建到的符号链接/tmp。执行此操作时应格外小心，因为它可能会破坏软件，尤其是网络托管软件。

 rm -Rf /home/tmp
 ln -s /tmp /home/tmp