En la siguiente entrada voy a explicar cómo securizar /tmp para evitar la ejecución de scripts subidos por atacantes. Es importante realizar esta tarea sobretodo en servidores CentOS 6, pues /tmp no viene montado como un FileSystem a parte.

 

 

Primero de todo, voy a explicar dos supuestos, el primero, en el que tendríamos ya montado /tmp como un tmpfs, y por tanto simplemente tenemos que editar /etc/fstab para cambiar las opciones de montado de dicho tmpfs, y el segundo, en el que /tmp es un directorio con permisos 777 y por tanto un riesgo de seguridad.

 

TMP ya montado como FileSystem

En el primer caso, simplemente bastará con localizar la línea en /etc/fstab en la que está montado nuestro temp, sería algo así:

Pues simplemente debemos añadir a las opciones de montado las variables noexec y nosuid, para evitar que se den permisos de ejecución en el primer caso, y desactivar los atributos SUID en el segundo caso.

TMP como directorio

En caso de que nuestro /tmp sea un directorio, debemos remontarlo como punto de montaje para poder securizarlo. El proceso es muy sencillo:

Primero, creamos una carpeta (o escogemos una) donde ubicar nuestro fichero que albergará /tmp:

Seguidamente, rellenamos de ceros (inflamos) un fichero llamado tmp_fs, en el ejemplo, se le dan 2GB:

Y por último, le damos formato:

Ahora, añadimos a /etc/fstab la siguiente línea:

Tras esto, solo nos quedaría mover el contenido (ojo, contenido), del /tmp actual a otro directorio:

Y una vez realizado esto, podemos montar nuestro nuevo /tmp en su ubicación:

Si es necesario, reubicar los ficheros de backup_tmp a /tmp de nuevo, si no os es necesario, pues con esto hemos terminado de securizar nuestro tmp.

 

¡Un saludo!

 


0 commentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *