запуск скриптов из /tmp

ну для начала примонтируйте /tmp с noexec и остальными секурными опциями
это подействует на 99% гадов

монтировать раздел с noexec

это уже сто раз обсуждали. это не поможет, например, для perl /tmp/harmprogram или /lib/libc.so.6 /tmp/harmprogram . Но хуже тоже не будет(если только это не, скажем, гента у которой портаж поломается от этого(или не поломается?)) так что можно ставить.

знакомая проблема. на хостинге повадились запускаться от www перл-процессы, которые рассылали спам.
что я сделал - написал скрипт, который по крону запускается каждую минуту, проверяет наличие перловых процессов от юзера www, убивает их, и копирует access и error логи всех сайтов за текущую и предыдущую минуту. после 10-20 таких "инцидентов" обычно выявляется проломанный акаунт.

пускать вебсервер в chroot

>(если только это не, скажем, гента у которой портаж поломается от этого(или не поломается?))

Gentoo от себя вообще ничего в /tmp не пишет.

Не путать с /var/tmp/portage/, где собираются пакеты. Портеж не поломается, просто сборка новых пакетов перестанет работать :)

Боже мой, какие только костыли ни делают, лишь бы скрипты нормально не писать...

Ну не скажи :) Slapper в своё время как раз в tmp себя и компилировал. И запускал оттуда же. А он-то - через дырку в OpenSSL влезал :)

Обновляться надо было, а не на rh гнать :)

да какая разница, если уж закрывать /tmp то надо закрывать и /var/tmp и все остальные папки куда юзер пишет.

>да какая разница, если уж закрывать /tmp то надо закрывать и /var/tmp

И куда же юзеру класть сорцы при сборке? :)

>Обновляться надо было, а не на rh гнать :)

Дак кто ж в те времена думал о регулярных обновлениях домашних машинок? Да ещё когда трафик по 10 центов за мег считался очень дешёвым? :D

то ты гришь что надо /tmp закрыть чтобы вирусняков не напускали то щас гришь что им нужна возможность проги компилить...

Ну а для портяжей и прочего можно через losetup из файла сделать блочное устройство которое потом монтировать и тыкарть портаж туда.

если selinux включить в enforcing моду, то никаких телодвижений не понадобится. наоборот, вот если захочешь дать доступ от http на почитать директорию или что то запустить, что не лежит в http песочнице, то придется через audit2allow рулесы самому писать и с бубном приплясывать, но это все легко решаемо.

Когда трафик был 10 за мег, древнюю машину не выставляли в интернет.

selinux лучший вариант для таких вещей

>то ты гришь что надо /tmp закрыть чтобы вирусняков не напускали то щас гришь что им нужна возможность проги компилить...

Читай внимательнее. /tmp != /var/tmp/portage

>Когда трафик был 10 за мег, древнюю машину не выставляли в интернет.

Здрасьте. Домашние машины в Интернет и 10 лет назад выставляли :) Тем более, когда Интернет дорогой был. Кеширующий прокси заметно позволял экономить семейный бюджет :)

Я про доступ снаружи вообще-то :)

> Читай внимательнее. /tmp != /var/tmp/portage

Это ты запутался. Я говорил что если закрывать то закрывать всё а для сборки портов отдельное устройство/раздел использовать куда обычный юзер не дотянется. И то это всё равно что прикрыться фиговым листочком. Большинство троянов на перле написаны, от них это никак не спасёт.