você está aqui: Home  → Arquivo de Mensagens

Montagem segura de diretórios de armazenamento temporário

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 02 de janeiro de 2013

Os diretórios /tmp, /var/tmp e /dev/shm, são abertos para gravação a todos os usuários e processos. Por serem de livre acesso, podem vir a hospedar programas intrusos que podem vir a danificar o sistema. Não existe razão para que estes diretórios hospedem programas executáveis.

O diretório /tmp possui as seguintes permissões:

  $ ls -ld /tmp
  drwxrwxrwt 19 root root 20480 Jan  2 08:42 /tmp

O caractere "-t" indica o sticky bit, que indica que apenas o dono pode apagar arquivos criados neste diretório. Como podemos ver pelas permissões de acesso do diretório (drwxrwxrwt), todos podem criar arquivos.

Por padrão, na maioria dos sistemas GNU/Linux, não é imposta nenhuma limitação ao tipo de arquivos que podem ser gravados nestes diretórios, ou seja, qualquer pessoa pode gravar um programa executável nestes diretórios e a partir daí utilizá-los como ponte para uma possível invasão do sistema.

São três os parâmetros que podem nos auxiliar a tornar estes diretórios temporários mais seguros:

  1. nodev - desabilita a interpretação de dispostivos de blocos especiais em um sistema de arquivos.
  2. nosuid - impede que os bits de identificação de usuário (setuid) e identificação de grupo (segid) sejam interpretados.
  3. noexec - impede que qualquer arquivo executável seja ativado a partir do diretório em questão.

Para instalar estas limitações, edite o arquivo /etc/fstab e, na linha em que se encontrar a partição /tmp

  UUID=4d1da753-ebe0-4f4b-a5e2-675619036d63 /tmp ext4 defaults  0 0

mude para:

  UUID=4d1da753-ebe0-4f4b-a5e2-675619036d63 /tmp ext4 defaults,nodev,nosuid,noexec  0 0

Saiba mais

Referências



 

 

Veja a relação completa dos artigos de Rubens Queiroz de Almeida

Opinião dos Leitores

Luiz L. Marins
02 Jan 2013, 09:59
Rubens, isto é muito sério, pois usa-se o Linux por se "mais seguro".

No caso de um usuário desktop que usa interbank, apenas uma máquina cliente direto na internet ... o ClamTk verifica vírus de Windows, mas não malwares para Linux.

Poderia futuramente, se for possível, desenvolver um artigo nesse sentido?
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script