요즘 웹프로그램의 취약점을 이용하여 /tmp 폴더에 파일을 올린 후 해당 파일을 실행하여 서버에 부하를 주는 경우가 많다.
이걸 막는 방법은 먼저 1777 권한으로 된 폴더는 가급적이면 없애는 것이 좋으며 불가피할 경우 파티션에 noexec 를 줘 실행권한이 없도록 하는 것이 좋다.

1. 서버에 1777 권한으로 되어 있는 폴더가 뭐가 있는지 조사한다.
# fine / -perm 1777 -print

2. 보통 /var/tmp 와 /tmp 가 있을 것이다. 여기서 /var/tmp 는 /tmp 로 링크를 걸어 하나만 관리하면 되도록 한다.

# rm -rf /var/tmp
# ln -s /tmp /var/tmp


3. /tmp 파티션에 실행권한을 없앤다.

(1) fstab 수정

# vi /etc/fstab

변경 전)
/dev/sda10 /tmp ext3 defaults
none /dev/shm tmpfs defaults

변경 후)
/dev/sda10 /tmp ext3 defaults,noexec,nosuid
none /dev/shm tmpfs defaults,noexec,nosuid

(2) 리마운트
# mount -oremount /tmp
# mount -oremount /dev/shm

(3) 적용 여부 확인
# mount

4. /tmp 파티션이 별도로 나눠있지 않고 통으로 잡혀 있을 경우 아래와 같이 파티션 별도로 추가 설정

(1) 파티션 추가 설정

# cd /dev
# dd if=/dev/zero of=tmpmount bs=1024 count=800000
# mke2fs -j /dev/tmpmount
-j 옵션은 ext3로 생성한다는 의미, 생략하면 ext2로 생성됨.
# mount -o loop,noexec,nosuid,rw /dev/tmpmount /tmp

(2) 리마운트 시 아래와 같은 에러가 날 경우
[root@www root]# mount -o loop,noexec,nosuid,rw /dev/tmpmount /tmp
mount: Could not find any loop device, and, according to /proc/devices,
this kernel does not know about the loop device.
(If so, then recompile or `insmod loop.o'.)
이 경우 커널컴파일 시
Block devices --->[*] Loopback device support 와 같이 선택해 주어야 한다.
일반적으로 꼭 이 기능을 사용하지 않으시더라도 선택해 주는 것이 좋다.

5. noexec의 한계
물론 위와 같이 한다고 해서 100% /tmp 에 파일을 올려두고 실행하는 것을 막을 순 없다.
아래와 같이 직접 실행하지 않고 참조하여 실행할 경우 파티션에 noexec를 준다고 해도 실행이 된다.
# /usr/bin/perl /tmp/test.cgi
# /bin/sh /tmp/test.sh
따라서 지속적인 모니터링이 필요하다.