オペレーティング・システムとユーザー・データに別個のディスク・パーティションを使用して、ファイル・システム・フルの問題がサーバーの操作に影響を与えるのを防ぎます。 たとえば、/home、/tmp、p、/oracleなどに別個のパーティションを作成できます。

ディスク割当てを作成することで、ユーザーが誤ってまたは意図的にファイル・システムをすべて使用し、他のユーザーへのアクセスを拒否するのを防ぎます。

オペレーティング・システム・ファイルおよびユーティリティが攻撃時に変更されるのを防ぐには、/usrファイル・システムを読取り専用でマウントします。 ファイル・システム上のRPMを更新する必要がある場合は、-o remount,rwオプションを指定してmountコマンドを使用し、読取りおよび書込みアクセスの両方で/usrを再マウントします。 更新の実行後、-o remount,roオプションを使用して/usrファイル・システムを読取り専用モードに戻します。

/tmpなどの非rootローカル・ファイル・システムまたはリムーバル・ストレージ・パーティションへのユーザー・アクセスを制限するには、mountに-o noexec、nosuid, nodevオプションを指定します。 これらのオプションは、バイナリ(スクリプトではなく)の実行を防ぎ、setuidビットがなんらかの影響を及ぼすのを防ぎ、デバイス・ファイルの使用を防ぎます。

findコマンドを使用して、各ファイル・システム上の所有されていないファイルおよびディレクトリをチェックします。次に例を示します。

# find mount_point -mount -type f -nouser -o -nogroup -exec ls -l {} \;
# find mount_point -mount -type d -nouser -o -nogroup -exec ls -l {} \;

所有されていないファイルおよびディレクトリは、削除されたユーザー・アカウントに関連付けられている可能性があるため、ソフトウェアのインストール・エラーまたは削除エラー、あるいはシステムへの侵入を示している可能性があります。 見つかったファイルおよびディレクトリの権限と所有権を修正するか、これらを削除します。 可能な場合は、これが作成される原因となった問題を調査して修正してください。

findコマンドを使用して、各ファイル・システム上のあらゆるユーザーが書込み可能なディレクトリをチェックします。次に例を示します。

# find mount_point -mount -type d -perm /o+w -exec ls -l {} \;

システム・ユーザー以外のユーザーによって所有される、あらゆるユーザーが書込み可能なディレクトリを調査します。 ユーザーは、他のユーザーがこのディレクトリに書き込んだファイルを削除または変更できます。 見つかったディレクトリの権限と所有権を修正するか、これらを削除します。

findを使用してsetuidおよびsetgid実行可能ファイルをチェックすることもできます。

# find path -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;

setuidおよびsetgidビットが設定されている場合、root権限などの権限を必要とするタスクを実行可能ファイルで実行できます。 ただし、バッファ・オーバーラン攻撃によってこれらの実行可能ファイルが悪用され、利用されたプロセスの権限を使用して不正コードが実行される可能性があります。

setuidおよびsetgid実行可能ファイルが非rootユーザーに使用されるのを阻止するには、次のコマンドを使用してsetuidまたはsetgidビットを設定解除します。

# chmod u-s file
# chmod g-s file

たとえば、chmodコマンドを使用して/bin/ping6コマンドのsetuidビットを設定解除できます。

# ls -al /bin/ping6
-rwsr-xr-x. 1 root root 36488 May 20  2011 /bin/ping6
# chmod u-s /bin/ping6
# ls -al /bin/ping6
-rwxr-xr-x. 1 root root 36488 May 20  2011 /bin/ping6

次の表に、setuidおよびsetgidの設定解除を検討できるプログラムを示します。