Onderwerp: Plesk How To Installatie en Basic security

Origineel geplaatst door smurf


8. /tmp beveiligen
heel belangrijk, zo kunnen er geen scripts gerund worden vanuit de /tmp (veelal gebruikt door rootkits)
cd /dev
dd if=/dev/zero of=tmpMnt bs=1024 count=100000
mke2fs /dev/tmpMnt
cd /
cp -R /tmp /tmp_backup-
mount -o loop,noexec,nosuid,rw /dev/tmpMnt /tmp
chmod 0777 /tmp
cp -R /tmp_backup/* /tmp/
rm -rf /tmp_backup-

File laten mounten bij start:

pico -w /etc/fstab


voeg onderaan:
/dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0

Iemand idee hoe ik dit ongedaan kan maken, na het uitvoeren van bovenstaande werkt php namelijk niet meer volledig. Sessions doen het opeens niet meer, de melding is:

Opgepast: De Sessiedirectory bestaat niet: /tmp. Sessie's willen niet werken zolang dit niet gefixed is.

Verneem graag hoe ik de /tmp van een standaard fc1 installatie kan herstellen, alsvast heel erg bedankt!

Gekke is dat de sessie zo lijkt wel worden aangemaakt:

[root@localhost tmp]# ls
lost+found sess_60511c8e2e22ecdd916a4335dbb0efd7 sess_b0ead1b59556f3c06ec1cd213818cba4
sess_00c2c1a696698d24ffe358c0cc246bca sess_60a75dc75f54090691a9a0910f20c299 sess_b18ba25c39d49e6826a88a5bd5ce6740
sess_00f1736e6c2d2dcbadd7aa8b68eb109b sess_613f650516e55b84b5142a28ea70bdbf sess_b1bf9be1c48f68a6d6e41ceaa1fe18dc
sess_0113fc1bb2aff691727dd3f440c415b0 sess_62b74c483628a452603f43e0dda93136 sess_b1dd611c35db5a1b19c61afc8144451f
sess_021109343726395bd0c02f37645d8fff sess_62df6cc964fcc68ba9f80c7ed97c4de1 sess_b44e31685279ce24f8bcbec2f83e9392


Maar op een of andere manier kunnen ze daarna niet meer worden gebruikt ;-(

Origineel geplaatst door smurf
Voor u begint:

----------------------------------------------------------------------
Zorg er voor dat de hostname van je machine klopt!
Zorg er voor dat mysql draait met root zonder passwoord.
----------------------------------------------------------------------

Ik wil niet flauw zijn hoor, maar die mysql met default instellingen zal je hele systeem toch nog naar de haaien kunnen helpen, misschien stukje adden waarin je mysql pass changed?

Je initiele mysql moet zo zijn, anders intalleert plesk niet. Plesk vervangt de root dan door admin met pass...

Nog even ter aanvulling:

Zorg ervoor dat als je tmpfs gebruikt, zoals Fedora standaard doet, je enkele wijzigingen aan je /etc/fstab aanbrengt.
Geef bij de opties minimaal 'noexec,nosuid' mee. Dat reduceert de hoeveelheid geslaagde inbraakpogingen.

Bwah, ik weet toch niet zo wat jullie met /tmp als nosetuid/noexec hebben. Het is natuurlijk wel "veiliger", maar je moet het ook niet zien als een godsgeschenk. Voor een succesvolle hack moet er niet eens geschreven worden in /tmp, er zijn genoeg directory's waar je bestanden kan executen. De homedirectory als eerste.

In de 3 keer dat ze mijn servers gehacked hebben was /tmp de map van waaruit dingen uitgevoerd werden.

maar je kan evengoed iets executen in de homedirectory zelf, dus de volgende hack zal ipv /tmp /home/user zijn meer niet

Ik weet er weinig van hoe het allemaal werkt, maar naar mijn idee is het bij mij altijd /tmp geweest omdat PHP daar upload. Kan natuurlijk ook andere redenen hebben, maar ben gelukkig geen expert in gehacked worden

www.rootkit.nl <- Rootkit Hunter (Lekker naast Chkrootkit draaien)

mod_security downloadbaar van www.modsecurity.org (erg handig tegen phpBB exploits )

Oreilly over mod_security: http://www.onlamp.com/pub/a/apache/2...t&x-maxdepth=0