Многие эксплоиты полагаются на возможность выполнения команд в каталоге /tmp. Администраторы, зная о такой проблеме, часто разбивают диск таким образом, чтобы для /tmp выделялся свой раздел, который затем монтируется в режиме запрета выполнения файлов.

Однако остаётся одна неприятная проблема: APT может работать неправильно с такой конфигурацией.

В данной статье мы рассмотрим:

• монтирование /tmp в режиме запрета выполнения файлов как для отдельного раздела, так и в случае использования единственного раздела;
• решение проблем с apt-get/aptitude.

Монтирование /tmp в режиме запрета выполнения файлов для отдельного раздела

Здесь всё очень просто: открываем файл /etc/fstab и ищем /tmp. Строка может, например, иметь следующий вид:

К defaults добавляем два параметра: nosuid и noexec (можно еще добавить nodev):

Очень рекомендую прочитать man mount, чтобы понять, что nosuid/noexec могут, а что нет (и почему /bin/sh /tmp/test.sh сработает).

После внесения изменений перемонтируем /tmp:

Создание псевдораздела для /tmp

Если при установке системы диск не был разбит на разделы, есть способ создания псевдораздела. Он ужасный, но работает.

Добавляем в /etc/fstab строку

Некоторые люди говорят, что добавление nodev конфликтует с дисковыми квотами. Не проверял, не знаю.

После сохранения файла желательно перезагрузиться (и избежать секса с перезапуском сервисов и неожиданной потерей временных файлов). После перезагрузки все должно работать. Проверяется очень просто:

Исправление конфигурации APT

В файл /etc/apt/apt.conf (или в /etc/apt/apt.conf.d/70debconf, в зависимости от дистрибутива) нужно внести такие изменения:

Прочее

Кроме /tmp есть еще /var/tmp…

Добавить в социальные закладки

• Blink
• del.ici.ous
• Digg
• Furl
• Google
• Simpy
• Spurl
• Y! MyWeb
• БобрДобр
• Мистер Вонг
• Yandex.Закладки
• Текст 2.0
• News2
• AddScoop
• RuSpace
• RUmarkz
• Memori
• Google Bookmarks
• Писали
• СМИ 2
• Моё Место
• 100 Закладок
• Ваау!
• Technorati
• RuCity
• LinkStore
• NewsLand
• Lopas
• Закладки - IN.UA
• Connotea
• Bibsonomy
• Trucking Bookmarks
• Communizm
• UCA
• Slashdot
• Magnolia
• Blogmarks
• Current
• Meneame
• Oknotizie
• Diigo
• Funp
• Hugg
• Dealspl.us
• N4G
• Mister Wong
• Faves
• Yigg
• Fresqui
• Care2
• Kirtsy
• Sphinn
• SaveThis.ru

Связанные записи

• Удаление старых настроек в Debian/Ubuntu Linux (0)
• Скажи “Нет!” взломщику (5)
• Я стал одним из вас… (5)
• Уязвимости oDesk (2)
• Распараллеливать или не распараллеливать — вот в чём вопрос (0)