noexec no diretório / tmp e / var / tmp

0

Nossos servidores clientes estão executando a versão antiga do jboss (Jboss 4.0), que tem muitas vulnerabilidades conhecidas. O resultado é que o servidor foi invadido e estamos vendo algum executável desconhecido sendo executado dos diretórios /tmp , /var/tmp e /dev/shm . O servidor está sendo usado como uma máquina zumbi a partir da qual outras máquinas são direcionadas.

Modificamos a configuração do jboss para remover a falha com o Nessus, confirmando que a vulnerabilidade não existe mais. Além disso, executei o seguinte

Mounted /tmp with noexec option
Mounted /dev/shm with noexec,nosuid option 

Não tive nenhum problema em executar as duas etapas acima, pois /tmp está em uma partição separada para mim. Estou enfrentando problemas com /var/tmp location, pois não posso usar noexec na partição /var . Então, planejando montar /var/tmp na mesma partição que estou usando para /tmp location. Eu esperava que isso ajudasse a resolver o problema para mim, mas depois de executar as alterações, notei que os arquivos e diretórios em /tmp também estão disponíveis em /var/tmp .

# ls -l /var/tmp/
total 32
drwx------ 2 ssdg  ssdg   4096 Dec 17 12:10 gconfd-ssdg
drwxr-xr-x 3 root  root   4096 Feb 21  2013 hp_sum
drwxr-xr-x 2 jboss jboss  4096 Dec 18 11:56 hsperfdata_jboss
drwx------ 2 root  root  16384 May 18  2011 lost+found
srwxr-xr-x 1 root  root      0 Aug 29  2011 mapping-root

# ls -l /tmp/
total 32
drwx------ 2 ssdg  ssdg   4096 Dec 17 12:10 gconfd-ssdg
drwxr-xr-x 3 root  root   4096 Feb 21  2013 hp_sum
drwxr-xr-x 2 jboss jboss  4096 Dec 18 11:56 hsperfdata_jboss
drwx------ 2 root  root  16384 May 18  2011 lost+found
srwxr-xr-x 1 root  root      0 Aug 29  2011 mapping-root

Então, provavelmente a idéia de usar a mesma partição para /tmp e /var/tmp não funcionará. Precisa de sugestões sobre como implementar o noexec para o diretório /var/tmp .

    
por Zama Ques 18.12.2013 / 07:50

4 respostas

5

Você não tem garantia de que os programas foram armazenados somente em /tmp e /var/tmp . Eu os colocaria lá, já que é menos provável que um timestamp de diretório seja detectado lá, mas isso não impede colocar executáveis em algum outro lugar.

Reinstalar o sistema desde o início - incluindo a versão do jboss sem as vulnerabilidades antes de entrar na rede - é, na minha experiência - felizmente pouco - a única maneira de lidar com intrusões.

    
por 18.12.2013 / 08:18
1

Você pode usar o controle de acesso obrigatório (MAC) para restringir se e sob qual local os processos do JBoss podem executar outros processos.

No Red Hat / Fedora, etc. existe o SELinux e no Ubuntu existe o AppArmor para MAC.

    
por 18.12.2013 / 09:10
-1

Não deve haver nenhum problema se você ligar / tmp para / var / tmp, pois há uma pequena chance, que algum programa precisará de arquivos em ambos os diretórios com os mesmos nomes. Eu aconselho a seguir esse caminho.

E é aconselhável adicionar a opção "nodev" também.

Mais algumas informações: link

    
por 18.12.2013 / 09:08
-1

Você precisa formatar para garantir /var/tmp . Defina as opções de montagem então. O Debian lhe dá a opção, mas outros não. Sinta-se à vontade para adicionar noexec , nosuid e nodev mais tarde.

    
por 21.02.2016 / 04:20