Hodně exploitů využívá chyb aplikací ke spuštění vlastního kódu v /tmp
Setkal jsem se s tímto problémem u takových aplikací jako je phpMyAdmin, WordPress, Horde+IMP a mnoho a mnoho dalších. Aby jeden mohl o kousek lépe spát (a neviděl procesy jako minerd, runcron, delegate a podobné vytěžovat ze 100% všechna CPU) stačí označit /tmp tak, aby v něm nešly spouštět soubory.
Poměrně jednoduše vytvoříme 1GB image, do kterého vetkneme ext filesystém a pomocí parametru noexec pro mount zakážeme spuštění čehokoliv v /tmp
# dd if=/dev/zero of=/home/tmp.img bs=1024 count=1000000 # mke2fs /home/tmp.img # echo "/home/tmp.img /tmp ext2 loop,noexec,nosuid,rw 0 0" >>/etc/fstab # rm -rf /tmp/* # mount /tmp # chmod 0777 /tmp