Premièrement:
il couvre de nombreux cas d’attaque différents. Le désactiver parce qu’il existait quelques méthodes connues (parfois même fixes) est étrange. Les pirates téléchargent du code dans / dev / shm ou / tmp est une chose courante.
La défense en profondeur consiste à sécuriser les points de cheminement les plus courants, chaque arrêt les rendant plus sûr pour votre système. Pas sécurisé. Mais ça va aussi avoir une chance . S'ils ne peuvent pas récupérer leur charge utile secondaire, c'est une chance très bonne que vous obtenez.
- Il peut également être arrêté par les restrictions utilisateur iptables.
- Il pourrait également être arrêté par SELinux.
- Il pourrait également ne pas être arrêté en raison d'un autre exploit facilement accessible.
Le point est de le rendre aussi dur que vous facilement pouvez, et découpez 99% des attaques.
Deuxièmement,
cela met fin aux mauvaises pratiques (exécuter des tâches à partir de temp, effectuer des installations d’application majeures via / tmp au lieu d’un utilisateur tmpdir), en laissant les données dans / tmp. Les installateurs personnalisés comprennent généralement TMPDIR
De plus, même si ce n’est pas le cas: le temps d’installation, en tant qu’action ponctuelle, n’est pas une raison valable pour désactiver un problème de sécurité de manière permanente .
Troisièmement:
Considérant les espaces de noms anonymes dans / tmp (une "fonctionnalité"), vous voulez vraiment restreindre ce qui y est mis et courir à partir de là.
Forth: La
commodité n’est pas un facteur pertinent à cet égard. En supposant que nous exploitons des serveurs pour de l'argent et dans un but précis: nous en sommes responsables. "Oh, je n'ai pas verrouillé / tmp parce que j'ai besoin de quelques minutes de plus pour mettre à jour mon logiciel l'année prochaine". Ce ne sera sûrement pas la seule chose qui se situe entre le chantage et le simple fait d’être bien. Une bonne raison? Je ne pense pas.
Celui-ci, ça va:
"Nous avons appris que les ennemis peuvent attaquer sans préavis. Ils pourraient également utiliser des centaines d'espions pour empoisonner la nourriture. Nous avons donc cessé de distribuer des armes à feu à nos soldats."
Attends quoi?
Il existe d'autres mesures qui nécessitent beaucoup plus d'efforts, d'expérience et de chance pour sécuriser un système, et sachant que les gens ont peu d'argent, une durée de vie limitée et qu'ils aimeraient aussi passer du temps avec leur famille: Ne sautez pas les tâches faciles.