En la siguiente entrada voy a explicar cómo securizar /tmp para evitar la ejecución de scripts subidos por atacantes. Es importante realizar esta tarea sobretodo en servidores CentOS 6, pues /tmp no viene montado como un FileSystem a parte.

 

 

Primero de todo, voy a explicar dos supuestos, el primero, en el que tendríamos ya montado /tmp como un tmpfs, y por tanto simplemente tenemos que editar /etc/fstab para cambiar las opciones de montado de dicho tmpfs, y el segundo, en el que /tmp es un directorio con permisos 777 y por tanto un riesgo de seguridad.

 

TMP ya montado como FileSystem

En el primer caso, simplemente bastará con localizar la línea en /etc/fstab en la que está montado nuestro temp, sería algo así:

Pues simplemente debemos añadir a las opciones de montado las variables noexec y nosuid, para evitar que se den permisos de ejecución en el primer caso, y desactivar los atributos SUID en el segundo caso.

TMP como directorio

En caso de que nuestro /tmp sea un directorio, debemos remontarlo como punto de montaje para poder securizarlo. El proceso es muy sencillo:

Primero, creamos una carpeta (o escogemos una) donde ubicar nuestro fichero que albergará /tmp:

Seguidamente, rellenamos de ceros (inflamos) un fichero llamado tmp_fs, en el ejemplo, se le dan 2GB:

Y por último, le damos formato:

Ahora, añadimos a /etc/fstab la siguiente línea:

Tras esto, solo nos quedaría mover el contenido (ojo, contenido), del /tmp actual a otro directorio:

Y una vez realizado esto, podemos montar nuestro nuevo /tmp en su ubicación:

Si es necesario, reubicar los ficheros de backup_tmp a /tmp de nuevo, si no os es necesario, pues con esto hemos terminado de securizar nuestro tmp.

 

¡Un saludo!

 


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *