检测
分析学
1.1.2.1 确保/tm单片-配置校验
资讯类
/tm目录是一个世界可写目录,供所有用户和部分应用程序临时存储原理性:
make/tmp自己的文件系统允许管理员设置附加挂载选项,如挂载noexec选项,使攻击者安装可执行代码无用/tmp还可以防止攻击者建立硬链路并等待系统设置程序更新程序更新后 硬链路破解 攻击者拥有程序拷贝如果程序碰巧安全漏洞,攻击者可继续利用已知缺陷
/tm目录面向世界可写性,如果不受单片约束则资源耗竭风险
可通过以下方式实现:将tmpfs安装到/tm或为/tm单设分区
撞击 :
设计文档保存到/tmp时不应期望系统重开生存tmpfs基于总线,当系统重开时所有存储到tmpfs的文件都将丢失
如果文件需要通过重启动持久化,应保存到/var/tmp非/tm
流出/流出空间问题不计文件系统类型,但在配置中/流出不是单独的文件系统,它基本拥有全盘可用性,因为默认安装只创建单/分治内存/图文集几乎肯定小得多,这可更容易地导致应用填充文件系统另一种选择是从单卷或磁盘创建专用分区磁盘专用分区的一个下坡点是它比基于存储器的tmpfs慢
求解
优先确保系统正确配置,以确保/tm启动时安装#systemctlunmasktm.
e/etc/fstab修改/tm上载环境的具体配置需求
使用tmpfs并带专用挂载选项实例
tmpfs/tmpfs默认值rw、nosuid、nodev、noexec、relatime
量或盘使用实例并有特定的挂载选项量或盘源位置视环境变化
并见
项目细节
类别 :冲突管理
引用 :800-53QM-6,800-53QM-7,CSCV79.2
插件 :ixix连接
控件标识符 :57e0b21fefc84681f4a3fb22e9185631e31083e039bb657675debbd9c2dd272c