Избежание переполнения файловой системы в Linux директории,

Закрытие уязвимостей

Во избежание переполнения файловой системы в Linux директории, к которым у многих пользователей, в том числе у внешних, есть доступ, рекомендуется создавать на отдельных разделах.

 

Это /tmp, /var, /var/log, /var/log/audit и /home.

 

Это легко сделать при установке новой системы и рекомендуется делать всегда.

 

Ну а при потребности избежать риска переполнения на уже работающей системе можно переразбить разделы и выделить новый для опасной директории.

 

После этого полезно добавить опции монтирования, ограничивающие опасный функционал у пользовательских файлов.

Опции монтирования задаются в 4 столбце в файле /etc/fstab.

 

Для /tmp рекомендуются опции nodev (запрещает создавать в файловой системе файлы устройств), noexec (запрещает запускать исполняемые файлы) и nosuid (запрещает создавать файлы с SUID/SGID битами):

 

grep “[[:space:]]/tmp[[:space:]]” /etc/fstab | grep nodev | grep ^[^#] || sed -i ‘s”^\(.*\s/tmp\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nodev\2″g’ /etc/fstab

grep “[[:space:]]/tmp[[:space:]]” /etc/fstab | grep nosuid | grep ^[^#] || sed -i ‘s”^\(.*\s/tmp\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nosuid\2″g’ /etc/fstab

grep “[[:space:]]/tmp[[:space:]]” /etc/fstab | grep noexec | grep ^[^#] || sed -i ‘s”^\(.*\s/tmp\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,noexec\2″g’ /etc/fstab

mount -o remount,noexec,nodev,nosuid /tmp

 

В точках монтирования /var/log и /var/log/audit хранятся журналы регистрации событий и им тоже не помешают опции nodev, noexec и nosuid:

 

grep “[[:space:]]/var/log[[:space:]]” /etc/fstab | grep nodev | grep ^[^#] || sed -i ‘s”^\(.*\s/var/log\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nodev\2″g’ /etc/fstab

grep “[[:space:]]/var/log[[:space:]]” /etc/fstab | grep nosuid | grep ^[^#] || sed -i ‘s”^\(.*\s/tmp\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nosuid\2″g’ /etc/fstab

grep “[[:space:]]/var/log[[:space:]]” /etc/fstab | grep noexec | grep ^[^#] || sed -i ‘s”^\(.*\s/var/log\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,noexec\2″g’ /etc/fstab

mount -o remount,noexec,nodev,nosuid /var/log

grep “[[:space:]]/var/log/audit[[:space:]]” /etc/fstab | grep nodev | grep ^[^#] || sed -i ‘s”^\(.*\s/var/log/audit\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nodev\2″g’ /etc/fstab

grep “[[:space:]]/var/log/audit[[:space:]]” /etc/fstab | grep nosuid | grep ^[^#] || sed -i ‘s”^\(.*\s/var/log/audit\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nosuid\2″g’ /etc/fstab

grep “[[:space:]]/var/log/audit[[:space:]]” /etc/fstab | grep noexec | grep ^[^#] || sed -i ‘s”^\(.*\s/var/log/audit\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,noexec\2″g’ /etc/fstab

mount -o remount,noexec,nodev,nosuid /var/log/audit

 

Для /home рекомендуется опция nodev:

 

grep “[[:space:]]/home[[:space:]]” /etc/fstab | grep nodev  | grep ^[^#] || sed -i ‘s”^\(.*\s/home\s\+\w\+\s\+[a-zA-Z0-9,]\+\)\(\s.*\)$”\1,nodev\2″g’ /etc/fstab

mount -o remount,nodev /home

Источник

 

Добавить комментарий