« RSA SecurID 集成Windows认证 | Main | 猫扑收购DoNews 2005完美结束 »
December 28, 2005
/tmp 临时文件目录的安全、性能相关问题
|
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。 https://windtear.net/archives/2005/12/28/000868.html http://windtear.net/archives/2005/12/28/000868.html /tmp 临时文件目录的安全、性能相关问题 昨天水木社区LinuxApp版讨论了 /tmp 目录的安全问题 缘起是icyblue网友的WEB服务器被攻击(跑php b2evolution) 然后就讨论到了 /tmp 的安全问题 顺道也捎带讨论了一下 php 配置的安全加固 关于/tmp的安全问题 大家的共识是挂载/tmp分区时(mount)禁止执行(noexec)和suid(nosuid) mount -o nosuid,noexec ... /tmp icyblue自己后来通过做一个文件当成loop设备解决了 dd if=/dev/zero of=/var/tmp.block bs=1M count=50 losetup /dev/loop0 /var/tmp.block mke2fs /dev/loop0 losetup -d /dev/loop0 cat >> fstab /var/tmp.block /tmp ext2 loop,nosuid,noexec mount /tmp 这样能减少/tmp因为默认是所有人可读写执行带来的潜在安全问题 不过从根本上解决应用的问题是最应该的解决办法 从性能角度考虑 把 /dev/shm 共享内存给 /tmp 也不错 shm /dev/shm tmpfs defaults 0 0 none /dev/shm tmpfs defaults 0 0 /dev/shm /var/tmp none rw,bind 0 0 然后再把nosuid,noexec加上 性能上 安全上都还可以 可以参看kernel source目录Documentation/filesystems/tmpfs.txt |
Posted by windtear at December 28, 2005 11:28 PM
