Incrementar la seguridad del servidor Linux con las opciones nodev, nosuid y no exec

Nivel de expertise: Avanzado

Los hackers pueden utilizar directorios de almacenamiento temporal, como /tmp, para almacenar y ejecutar programas no deseados y acceder sin autorización a un servidor. Otros directorios de almacenamiento temporal que igualmente pueden ser utilizados para actividades maliciosas son /var/tmp y /dev/shm. Siga estos pasos para asegurar su servidor Linux contra esta vulnerabilidad: 

Agregue las opciones nodev, nosuid y noexec a /tmp:

1. Edite el archivo /etc/fstab, ingrese:

vi /etc/fstab


2. Localice la línea de  /tmp:

UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4 /tmp                    ext4    defaults        1 2

3. Añada el texto, nodev,nosuid,noexec a la lista de opciones montadas en la columna

4. La entrada debería verse de esta manera:

UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4 /tmp                    ext4    defaults,nodev,nosuid,noexec        1 2

5. Guarde y cierre el archivo.

 

Agregue las opciones nodev, nosuid, y noexec a /dev/shm:

1. Edite el archivo /etc/fstab, ingrese:

vi /etc/fstab


2. Localice la línea de  /dev/shm:

tmpfs                   /dev/shm                tmpfs   defaults        0 0

3. Añada el texto, nodev,nosuid,noexec a la lista de opciones montadas en la columna

4. La entrada debería verse de esta manera:

tmpfs                   /dev/shm                tmpfs   defaults,nodev,nosuid,noexec        0 0

5. Guarde y cierre el archivo.

 

Sobre /var/tmp

Asegúrese vincular /var/tmp con /tmp:

1. Edite el archivo /etc/fstab, ingrese:

 

vi /etc/fstab


2. Añada la siguiente línea:

/tmp /var/tmp none rw,noexec,nosuid,nodev,bind 0 0

3. Guarde y cierre el archivo.

 

Establezca las opciones nodev, nosuid, y noexec sin reiniciar el servidor Linux

1. Escriba el siguiente comando como usuario root:

 # Bind /var/tmp to /tmp

 mount -o rw,noexec,nosuid,nodev,bind /tmp/ /var/tmp/

 # Remount /tmp

 mount -o remount,noexec,nosuid,nodev /tmp

 # Remount /dev/shm

 mount -o remount,noexec,nosuid,nodev /dev/shm

2. Verifique la nueva configuración:


mount | egrep --color -w '^(tmpfs|/tmp)|/tmp'

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk