امن کردن دایرکتوری tmp/ و /var/tmp و /dev/shm

[WebArts]

وقتی CSF firewall نصب می کنید و از داخل کنترل پنل سرور وضعیت سکیوریتی را مشاهده می کنید اغلب فایروال اطلاع می دهد که دایرکتوری های زیر امن نیست:

کد:

/tmp
/var/tmp
/dev/shm

برای امن کردن اینها به طریق زیر عمل کنید:
لینوکس سنت او اس

امن کردن /tmp
Secure your /tmp folder
تو لینک بعدی هم در اینباره هست اما چون فرمت کردن نداره پیغام خطا می ده. chmod نیز باید 1777 باشد.

کد:

1) Ensure you stop any services that may be writing to the /tmp folder (web server , mysql , ftp daemon)

2) clean your old temp folder !

# rm /tmp -rf
# mkdir /tmp"

3) Create a blank file , in order to mount up as /tmp

# mkdir /usr/local/tmppartition
# cd /usr/local/tmppartition
# dd if=/dev/zero of=tmpMnt bs=1024 count=10000000

4) Format the file with a filesystem !

# /sbin/mke2fs /usr/local/tmppartition/tmpMnt

5) Mount the file up to the /tmp folder !

# mount -o loop,noexec,nosuid,rw /usr/local/tmppartition/tmpMnt /tmp

6) Chmod the new folder to be world writable ..

# chmod 1777 /tmp

7) add the line to your fstab file so that the file remounts each boot .

# pico /etc/fstab

add the following lines at the bottom of the fstab file
-----------------------------------------------------------------
/usr/local/tmppartition/tmpMnt /tmp ext2 loop,noexec,nosuid,nodev,rw 0 0
-----------------------------------------------------------------
(without the ----------------------'s )

8) Enjoy a secure /tmp folder !

-------------------------
برای امن کردن/var/tmp

Secure /tmp | SecureCentos.com

کد:

mv /var/tmp /var/vartmp
ln -s /tmp /var/tmp

در صورت لزوم:

کد:

Copy the old data back

cp /var/vartmp/* /tmp/

--------------------
امن کردن /dev/shm

کد:

Edit your /etc/fstab:

nano -w /etc/fstab

پیدا کنید:

none /dev/shm tmpfs defaults,rw 0 0

با این عوضش کنید:

none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0

Step 2: Remount /dev/shm:

mount -o remount /dev/shm

[Rezash]

روی سرور هایی که سیپنل وجود داره میشه از اسکریپت
/scripts/securetmp
هم استفاده کرد

در اين مورد ميشه بيشتر توضيح بديد؟

[myvps]

مرسی از مطالبتون

حالا یه سئوال دارم

اگر روی یه vps فقط اسکریپتهای شخصی نصب شده باشه و کاربرها فقط بتونن فایلهای مجاز آپ کنند و به کسی هم مجوز ssh نداده باشیم
و راه دریافت ایمیلها را چه به روت و چه به ایمیل اکانتها بسته باشم
بازم نیاز دارم تا این کارها رو انجام بدم؟

[WebArts]

مرسی از مطالبتون

حالا یه سئوال دارم

اگر روی یه vps فقط اسکریپتهای شخصی نصب شده باشه و کاربرها فقط بتونن فایلهای مجاز آپ کنند و به کسی هم مجوز ssh نداده باشیم
و راه دریافت ایمیلها را چه به روت و چه به ایمیل اکانتها بسته باشم
بازم نیاز دارم تا این کارها رو انجام بدم؟

توجه کن ممکنه دستورات فوق برای امن کردن در vps کمی فرق کند.خوب است دوستان اگر چیزی در این باره می دانند بگویند.

[myvps]

توجه کن ممکنه دستورات فوق برای امن کردن در vps کمی فرق کند.خوب است دوستان اگر چیزی در این باره می دانند بگویند.

ممنون دوست عزیز

درست گفتید خیلی فرق داشت
یه سرچ زدم به جواب رسیدم

[raspinah]

یکی از اسکریپت های خود cpanel هست که به صورت خودکار این کار هایی که دوستمون گفتند رو انجام میدهند

فایل پیوست 1128

آقا من این دستور را میزنم ولی این میگه :
root@server [~]# /scripts/securetmp
*** Notice *** No loop module detected
If the loopback block device is built as a module, try running `modprobe loop` as root via ssh and running this script again.
If the loopback block device is built into the kernel itself, you can ignore this message.
*** Notice *** No working loopback device files found. Try running `modprobe loop` as root via ssh and running this script again.

[kingoftehran]

من تست کردم جواب نداد مشکل از vps من هست؟