De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Montagem segura de diretórios de armazenamento temporário

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 02 de janeiro de 2013

Os diretórios /tmp, /var/tmp e /dev/shm, são abertos para gravação a todos os usuários e processos. Por serem de livre acesso, podem vir a hospedar programas intrusos que podem vir a danificar o sistema. Não existe razão para que estes diretórios hospedem programas executáveis.

O diretório /tmp possui as seguintes permissões:

  $ ls -ld /tmp
  drwxrwxrwt 19 root root 20480 Jan  2 08:42 /tmp

O caractere "-t" indica o sticky bit, que indica que apenas o dono pode apagar arquivos criados neste diretório. Como podemos ver pelas permissões de acesso do diretório (drwxrwxrwt), todos podem criar arquivos.

Por padrão, na maioria dos sistemas GNU/Linux, não é imposta nenhuma limitação ao tipo de arquivos que podem ser gravados nestes diretórios, ou seja, qualquer pessoa pode gravar um programa executável nestes diretórios e a partir daí utilizá-los como ponte para uma possível invasão do sistema.

São três os parâmetros que podem nos auxiliar a tornar estes diretórios temporários mais seguros:

  1. nodev - desabilita a interpretação de dispostivos de blocos especiais em um sistema de arquivos.
  2. nosuid - impede que os bits de identificação de usuário (setuid) e identificação de grupo (segid) sejam interpretados.
  3. noexec - impede que qualquer arquivo executável seja ativado a partir do diretório em questão.

Para instalar estas limitações, edite o arquivo /etc/fstab e, na linha em que se encontrar a partição /tmp

  UUID=4d1da753-ebe0-4f4b-a5e2-675619036d63 /tmp ext4 defaults  0 0

mude para:

  UUID=4d1da753-ebe0-4f4b-a5e2-675619036d63 /tmp ext4 defaults,nodev,nosuid,noexec  0 0

Saiba mais

Referências

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Rubens Queiroz de Almeida