Zam*_*ues 0 linux filesystems security permissions executable
我们的客户端服务器运行旧版本的 jboss (Jboss 4.0),它有很多已知的漏洞。结果是服务器被黑了,我们看到一些未知的可执行文件从/tmp、/var/tmp和/dev/shm目录运行。该服务器被用作其他机器的目标机器。
我们修改了 jboss 配置以通过 Nessus 确认该漏洞不再存在来消除该缺陷。除此之外,我执行了以下操作
Mounted /tmp with noexec option
Mounted /dev/shm with noexec,nosuid option
对我/tmp来说,在单独的分区上执行上述两个步骤没有问题。我正面临/var/tmp位置问题,因为我无法在/var分区上使用 noexec 。因此,计划安装/var/tmp在我用于/tmp定位的同一分区上。我希望这将有助于解决我的问题,但在执行更改后,我注意到文件和目录/tmp在/var/tmp.
# ls -l /var/tmp/
total 32
drwx------ 2 ssdg ssdg 4096 Dec 17 12:10 gconfd-ssdg
drwxr-xr-x 3 root root 4096 Feb 21 2013 hp_sum
drwxr-xr-x 2 jboss jboss 4096 Dec 18 11:56 hsperfdata_jboss
drwx------ 2 root root 16384 May 18 2011 lost+found
srwxr-xr-x 1 root root 0 Aug 29 2011 mapping-root
# ls -l /tmp/
total 32
drwx------ 2 ssdg ssdg 4096 Dec 17 12:10 gconfd-ssdg
drwxr-xr-x 3 root root 4096 Feb 21 2013 hp_sum
drwxr-xr-x 2 jboss jboss 4096 Dec 18 11:56 hsperfdata_jboss
drwx------ 2 root root 16384 May 18 2011 lost+found
srwxr-xr-x 1 root root 0 Aug 29 2011 mapping-root
因此,使用相同的分区的大概的想法/tmp,并/var/tmp没有去上班。需要建议如何为/var/tmp目录实现 noexec 。
您不能保证程序仅存储在/tmp和 上/var/tmp。我会将它们放在那里,因为在那里检测到目录时间戳的可能性较小,但这并不排除将可执行文件放在其他地方。
从头开始重新安装系统——包括上线前没有漏洞的jboss版本——以我的经验——幸运的是——处理入侵的唯一方法。
| 归档时间: |
|
| 查看次数: |
7299 次 |
| 最近记录: |