Можно использовать мандатное управление доступом (MAC), чтобы ограничить, если и под которым местоположением процессы JBoss могут выполнить другие процессы.
На Red Hat / Fedora и т.д. существует SELinux и в соответствии с Ubuntu существует AppArmor для MAC.
У Вас нет гарантии, что программы были только на сохраненном на /tmp
и /var/tmp
. Я поместил бы их там, поскольку менее вероятно, что метка времени каталога обнаруживается там, но это не устраняет помещать исполняемые файлы где-то в другом месте.
Переустановка системы с нуля — включая версию jboss без уязвимостей прежде, чем идти онлайн — по моему опыту — мало, к счастью — единственный способ обработать проникновения.
...
или с пробелами...
– vonbrand
21.02.2016, 18:33
Не должно быть никакой проблемы при привязке/tmp с/var/tmp поскольку существует маленький шанс, что для некоторой программы будут нужны файлы в обоих каталогах с теми же именами. Я совет пойти тем путем.
И желательно добавить "nodev" опцию, также.
Еще некоторое понимание: https://superuser.com/questions/306407/why-bind-mount-var-tmp-to-tmp
/tmp
и /var/tmp
. файл
– a CVn
18.12.2013, 10:50
/tmp
часто очень ограничено в размере.
– vonbrand
21.02.2016, 18:34
Вы должны отформатировать, чтобы защитить / var / tmp
. Затем установите параметры монтирования. Debian дает вам возможность, но другие не могут. Вы можете добавить noexec
, nosuid
и nodev
позже.