Niveau d’expertise : Avancé
Les pirates peuvent utiliser des espaces de stockage temporaires comme /tmp pour enregistrer et exécuter des programmes non voulus et pénétrer dans un serveur. D’autres espaces de stockage temporaire qui peuvent être utilisés pour mener des activités malicieuses sont /var/tmp et /dev/shm. Suivez ces directives pour protéger votre serveur Linux de ces vulnérabilités :
Ajoutez les options nodev, nosuid et noexec à /tmp :
1. Éditez le fichier /etc/fstab, entrez :
vi /etc/fstab
2. Trouvez la ligne /tmp :
UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4 /tmp ext4 defaults 1 2
3. Ajoutez le texte, nodev,nosuid,noexec à la liste d’options de la colonne
4. L’entrée devrait ressembler à ceci :
UUID=0aef28b9-3d11-4ab4-a0d4-d53d7b4d3aa4 /tmp ext4 defaults,nodev,nosuid,noexec 1 2
5. Sauvegardez et enregistrez le fichier
Ajoutez les options nodev, nosuid, et noexec à /dev/shm :
1. Éditez le fichier /etc/fstab, entrez :
vi /etc/fstab
2. Trouvez la ligne /dev/shm :
tmpfs /dev/shm tmpfs defaults 0 0
3. Ajoutez le texte, nodev,nosuid,noexec à la liste d’options de la colone
4. L’entrée devrait ressembler à ceci :
tmpfs /dev/shm tmpfs defaults,nodev,nosuid,noexec 0 0
5. Sauvegardez et enregistrez le fichier
À propos de /var/tmp
Assurez vous de joindre /var/tmp à /tmp :
1. Éditez le fichier /etc/fstab, entrez :
vi /etc/fstab
2. Ajoutez le texte :
/tmp /var/tmp none rw,noexec,nosuid,nodev,bind 0 0
3. Sauvegardez et enregistrez le fichier.
Activez les options nodev, nosuid, et noexec sans redémarrer votre serveur Linux
1. Entrez cette commande en tant qu’utilisateur racine :
# Attachez /var/tmp à /tmp
mount -o rw,noexec,nosuid,nodev,bind /tmp/ /var/tmp/
# Remontez /tmp
mount -o remount,noexec,nosuid,nodev /tmp
# Remontez /dev/shm
mount -o remount,noexec,nosuid,nodev /dev/shm
2. Vérifiez la nouvelle configuration :
mount | egrep --color -w '^(tmpfs|/tmp)|/tmp'
0 Commentaires