você está aqui: Home  → Arquivo de Mensagens

Montagem segura de diretórios de armazenamento temporário

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 02 de janeiro de 2013

Os diretórios /tmp, /var/tmp e /dev/shm, são abertos para gravação a todos os usuários e processos. Por serem de livre acesso, podem vir a hospedar programas intrusos que podem vir a danificar o sistema. Não existe razão para que estes diretórios hospedem programas executáveis.

O diretório /tmp possui as seguintes permissões:

  $ ls -ld /tmp
  drwxrwxrwt 19 root root 20480 Jan  2 08:42 /tmp

O caractere "-t" indica o sticky bit, que indica que apenas o dono pode apagar arquivos criados neste diretório. Como podemos ver pelas permissões de acesso do diretório (drwxrwxrwt), todos podem criar arquivos.

Por padrão, na maioria dos sistemas GNU/Linux, não é imposta nenhuma limitação ao tipo de arquivos que podem ser gravados nestes diretórios, ou seja, qualquer pessoa pode gravar um programa executável nestes diretórios e a partir daí utilizá-los como ponte para uma possível invasão do sistema.

São três os parâmetros que podem nos auxiliar a tornar estes diretórios temporários mais seguros:

  1. nodev - desabilita a interpretação de dispostivos de blocos especiais em um sistema de arquivos.
  2. nosuid - impede que os bits de identificação de usuário (setuid) e identificação de grupo (segid) sejam interpretados.
  3. noexec - impede que qualquer arquivo executável seja ativado a partir do diretório em questão.

Para instalar estas limitações, edite o arquivo /etc/fstab e, na linha em que se encontrar a partição /tmp

  UUID=4d1da753-ebe0-4f4b-a5e2-675619036d63 /tmp ext4 defaults  0 0

mude para:

  UUID=4d1da753-ebe0-4f4b-a5e2-675619036d63 /tmp ext4 defaults,nodev,nosuid,noexec  0 0

Saiba mais

Referências



Veja a relação completa dos artigos de Rubens Queiroz de Almeida