« RSA SecurID 集成Windows认证 | Main | 猫扑收购DoNews 2005完美结束 »
December 28, 2005
/tmp 临时文件目录的安全、性能相关问题
|
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。 http://windtear.net/archives/2005/12/28/000868.html http://windtear.net/archives/2005/12/28/000868.html /tmp 临时文件目录的安全、性能相关问题 昨天水木社区LinuxApp版讨论了 /tmp 目录的安全问题 缘起是icyblue网友的WEB服务器被攻击(跑php b2evolution) 然后就讨论到了 /tmp 的安全问题 顺道也捎带讨论了一下 php 配置的安全加固 关于/tmp的安全问题 大家的共识是挂载/tmp分区时(mount)禁止执行(noexec)和suid(nosuid) mount -o nosuid,noexec ... /tmp icyblue自己后来通过做一个文件当成loop设备解决了 dd if=/dev/zero of=/var/tmp.block bs=1M count=50 losetup /dev/loop0 /var/tmp.block mke2fs /dev/loop0 losetup -d /dev/loop0 cat >> fstab /var/tmp.block /tmp ext2 loop,nosuid,noexec mount /tmp 这样能减少/tmp因为默认是所有人可读写执行带来的潜在安全问题 不过从根本上解决应用的问题是最应该的解决办法 从性能角度考虑 把 /dev/shm 共享内存给 /tmp 也不错 shm /dev/shm tmpfs defaults 0 0 none /dev/shm tmpfs defaults 0 0 /dev/shm /var/tmp none rw,bind 0 0 然后再把nosuid,noexec加上 性能上 安全上都还可以 可以参看kernel source目录Documentation/filesystems/tmpfs.txt |
Posted by windtear at December 28, 2005 11:28 PM
Trackback Pings
TrackBack URL for this entry:
http://cgi.windtear.net/cgi-bin/wt-tb.cgi/868
Comments
/var/tmp也应该同样处理一下
Posted by: xjb at December 29, 2005 9:39 AM
Post a comment
【我爱网络】
2007-12-31 23:51 2007年度 ipcn.org/ipchina.org 总结报告
2007-12-31 00:31 vmware gsx server service
2007-12-31 00:15 squid 对 404 302 缓存的相关问题
2007-12-30 14:24 升级到 MovableType 3.3x 并修改 entry_basename 兼容性
2007-12-30 13:52 [php] realip judge 前面补0的ip格式剔除
2007-12-14 16:34 rm -rf * 系统管理员要排查的定时炸弹
2007-12-13 19:03 山西的宽带运营商太过分了 私自窜改dns解析
2007-12-13 16:35 F5 MIB 再学习 唯一性标记用地址的小bug
2007-12-11 22:15 perl 用Spreadsheet::WriteExcel写了个处理/读写excel的小程序
2007-12-11 13:39 perl 变量转义的问题
