Jak Buster hartował się cz. 4

Czas zabezpieczyć /tmp. Katalog /tmp jest „world-writable” katalogiem używanym do czasowego zapisu przez wszystkich użytkowników i aplikacje. Napastnik może umieścić w katalogu /tmp plik wykonywalny, który np. tworzy link do programu setuid i czeka na zmiany. Po nastąpieniu zmian link jest rozłączany a napastnik posiada swoją kopie programu. Jeżeli program ma znaną lukę to napastnik może ją dalej wykorzystywać. Aby temu zapobiegać należny ustawić opcję noexec dla katalogu. W wypadku kiedy /tmp stanowi część partycji ustawienie parametru noexec nie jest możliwe. Z tego powodu na etapie ustalania partycji warto zadbać o to aby /tmp było oddzielną partycją lub zamontować tmpfs w / tmp.

Sposób zabezpieczenia /tmp:

Należy skonfigurować /etc/fstab:

tmpfs /tmp tmpfs defaults,rw,nosuid,nodev,noexec,relatime 0 0

Tym wpisem za jednym zamachem w /tmp ustawiamy system plików na tmpfs, ustawiamy parametry na nosuid, nodev, noexec.