Augmenter la sécurité du serveur Linux avec les options nodev, nosuid et noexec

Niveau d’expertise : Avancé

Les pirates peuvent utiliser des espaces de stockage temporaires comme /tmp pour enregistrer et exécuter des programmes non voulus et pénétrer dans un serveur. D’autres espaces de stockage temporaire qui peuvent être utilisés pour mener des activités malicieuses sont /var/tmp et /dev/shm. Suivez ces directives pour protéger votre serveur Linux de ces vulnérabilités :

Ajoutez les options nodev, nosuid et noexec à /tmp :

1. Éditez le fichier  /etc/fstab, entrez :

vi /etc/fstab

2. Trouvez la ligne  /tmp :

UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4 /tmp                    ext4    defaults        1 2

3. Ajoutez le texte, nodev,nosuid,noexec à la liste d’options de la colonne 

4. L’entrée devrait ressembler à ceci :

UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4 /tmp                    ext4    defaults,nodev,nosuid,noexec        1 2

5. Sauvegardez et enregistrez le fichier

 

Ajoutez les options nodev, nosuid, et noexec à /dev/shm :

1. Éditez le fichier /etc/fstab, entrez :

vi /etc/fstab


2. Trouvez la ligne  /dev/shm :

tmpfs                   /dev/shm                tmpfs   defaults        0 0

3. Ajoutez le texte, nodev,nosuid,noexec à la liste d’options de la colone 

4. L’entrée devrait ressembler à ceci :

tmpfs                   /dev/shm                tmpfs   defaults,nodev,nosuid,noexec        0 0

5. Sauvegardez et enregistrez le fichier

 

À propos de /var/tmp

Assurez vous de joindre /var/tmp à /tmp :

1. Éditez le fichier /etc/fstab, entrez :

vi /etc/fstab


2. Ajoutez le texte :

/tmp /var/tmp none rw,noexec,nosuid,nodev,bind 0 0

3. Sauvegardez et enregistrez le fichier.

 

Activez les options nodev, nosuid, et noexec sans redémarrer votre serveur Linux

1. Entrez cette commande en tant qu’utilisateur racine :

 # Attachez /var/tmp à /tmp

 mount -o rw,noexec,nosuid,nodev,bind /tmp/ /var/tmp/

 # Remontez /tmp

 mount -o remount,noexec,nosuid,nodev /tmp

 # Remontez /dev/shm

 mount -o remount,noexec,nosuid,nodev /dev/shm

2. Vérifiez la nouvelle configuration :


 mount | egrep --color -w '^(tmpfs|/tmp)|/tmp'

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk