香港服务器Linux 系统 tmp 目录的安全设置
在Linux系统中,至少有两个目录保存着系统的临时文件,一个就是 /tmp,另外一个是 /var/tmp。这两个目录有一个共同点就是所有用户在该目录下拥有可读写,可执行的权限,参考截图:
因为两个目录的权限的问题,攻击者可以把病毒或者木马文件放到这些临时目录下,用于信息的收集或者伪装运行系统的程序而实际上运行自己的程序。但是如果去修改临时目录的读写权限,则会影响系统上应用程序的正常运行。为了解决这个问题,则必须对这两个目录做特殊的处理。
这种情况下的处理最简单,直接修改 /etc/fstab 文件中 tmp 分区的挂载属性,加上 nosuid(不允许任何suid程序),noexec(在这个分区不能执行任何脚本等程序),nodev(不存在设备文件) 参数。
修改后的挂载属性应该和截图类似:
在挂载属性调整完毕后重新挂载/tmp分区,确保设置生效。
对于 /var/tmp 目录来说,如果有自己的独立分区的话就参考上述修改就可以,但如果只是 /var 目录下的一个子目录,则把目录下的所有数据移动到 /tmp 下,然后做一个软连接指向 /tmp 就可以了,具体操作为:
这种情况的配置要麻烦一点,可以通过创建一个 loopback 文件系统(拿文件模拟为块设备),然后通过 loopback 特性挂载该文件系统到 /tmp 下,在挂载时指定前文的安全设置就可以了,操作实例如下:
最后,测试一下挂载设置之后是否有效:
新建一个test.sh文件,具有执行权限,实验如截图:
从截图可以看到虽然具有执行权限,但是在 /tmp 下面已经无法执行任何文件了.
购买使用一诺网络香港服务器,可以极大降低初创企业、中小企业以及个人开发者等用户群体的整体IT使用成本,无需亲自搭建基础设施、简化了运维和管理的日常工作量,使用户能够更专注于自身的业务发展和创新。香港服务器低至29元/月,购买链接:https://www.enuoidc.com/vps.html?typeid=2