Проблема безопасности

[Dimon5]

Есть сервер на FreeBSD 7.2
Установлен в ДЦ уже больше года назад.
Сейчас идут попытки взлома путем загрузки шелла, через директорию /tmp.
Директория смонтирована без никаких опций.

Да и вообще когда систему устанавливали, не знали о такой необходимости,
и походу диск (на сервере два диска объединенных в софтовый рейд Gmirror) разбит всего на два раздела тоесть swap, и остальная часть идет полностью для системы.

Код: Выделить всё

# Device		Mountpoint	FStype	Options		Dump	Pass#
/dev/mirror/gm0s1b		none		swap	sw		0	0
/dev/mirror/gm0s1a		/		ufs	rw,groupquota,userquota		1	1
/dev/cd0		/cdrom		cd9660	ro,noauto	0	0

Так, вот из-за участившихся попыток взлома, я хотел бы смонтировать разделы типа /tmp /var /home с опциями noexec nosuid.
Как это возможно, и возможно ли вообще это сделать на этой системе, без переустановки системы?
Прошу посоветовать как быть.
Заранее спасибо за ответ.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

перебивать диск

[Dimon5]

перебивать диск

тоесть данные полетят?

читал, что на Linux это можно сделать даже если первоначально tmp и не был разделом. Путем создания так называемых файл-разделов, и последующего их подмонтирования с нужными опциями.
Выходит во FreeBSD так нельзя сделать?

[vadim64]

Я предлагаю разобрать зеркало, создать нужные разделы на втором диске и перехать на него. есть возможность KVM?

[Dimon5]

Я предлагаю разобрать зеркало, создать нужные разделы на втором диске и перехать на него. есть возможность KVM?

Да KVM есть, только вот опыта таковых переносов нету

[risk94]

положите в /tmp/.htaccess

Код: Выделить всё

<Files ~ "\.(php|php3|php4|pl|cgi|txt)$">
    deny from all
</Files>

потом латайте дыры.

[Dimon5]

положите в /tmp/.htaccess

Код: Выделить всё

<Files ~ "\.(php|php3|php4|pl|cgi|txt)$">
deny from all
</Files>

потом латайте дыры.

Спасибо за совет.


А вообще поделитесь какие разделы монтируете на своих серверах в noexec nosuid?
Знаю, что /tmp нужно и /var.
А допустим раздел /home с юзерами его нужно в этими опциями монтировать?

[vadim64]

а кто у вас там лазиет?

[Alex Keda]

перебивать диск

тоесть данные полетят?

читал, что на Linux это можно сделать даже если первоначально tmp и не был разделом. Путем создания так называемых файл-разделов, и последующего их подмонтирования с нужными опциями.
Выходит во FreeBSD так нельзя сделать?

и во фре так можно
но - это изврат

[Dimon5]

а кто у вас там лазиет?

в директории /home есть юзеры у каждого своя папка, и своя группа, php в режиме fastcgi.
Так вот и хотелось бы узнать, как делают продвинутые пользователи с разделами, и нужны ли опции noexec nosuid на разделе с юзерами /home ?

[vadim64]

без ваших дополнительных показаний, на ваш вопрос однозначный ответ дать нельзя. вы должны сами решить.
для этого вам нужноЖ
сесть и два раза внимательно перечитать man mount
выписать на листочек №1 список опций, которые вы хотели бы использовать
выписать на листочек №2 список того, что и как делают у вас пользователи в разделе с хомяками
с учётом списка на листочке №2, прорядите список на листочке №1
Собственно переписав на чистый листочек №3 проряжённый список №1, вы получите с\ваш список опций для раздела с хомяками.

[vadim64]

Да KVM есть, только вот опыта таковых переносов нету

советую почитать остросюжетный рассказ моего земляка