在Linux系統中，至少有兩個目錄保存著系統的臨時文件，一個就是 /tmp，另外一個是 /var/tmp。這兩個目錄有一個共同點就是所有用戶在該目錄下擁有可讀寫，可執行的權限，參考截圖：

因為兩個目錄的權限的問題，攻擊者可以把病毒或者木馬文件放到這些臨時目錄下，用于信息的收集或者偽裝運行系統的程序而實際上運行自己的程序。但是如果去修改臨時目錄的讀寫權限，則會影響系統上應用程序的正常運行。為了解決這個問題，則必須對這兩個目錄做特殊的處理。

/tmp 是一個獨立的磁盤分區

這種情況下的處理最簡單，直接修改 /etc/fstab 文件中 tmp 分區的掛載屬性，加上 nosuid(不允許任何suid程序)，noexec(在這個分區不能執行任何腳本等程序)，nodev(不存在設備文件) 參數。

修改后的掛載屬性應該和截圖類似：

在掛載屬性調整完畢后重新掛載/tmp分區，確保設置生效。

對于 /var/tmp 目錄來說，如果有自己的獨立分區的話就參考上述修改就可以，但如果只是 /var 目錄下的一個子目錄，則把目錄下的所有數據移動到 /tmp 下，然后做一個軟連接指向 /tmp 就可以了，具體操作為:

mv  /var/tmp/*   /tmp
ln  -s  /tmp  /var/tmp

 /tmp只是根目錄下的一個子目錄

這種情況的配置要麻煩一點，可以通過創建一個 loopback 文件系統（拿文件模擬為塊設備），然后通過 loopback 特性掛載該文件系統到 /tmp 下，在掛載時指定前文的安全設置就可以了，操作實例如下：

dd if=/dev/zero of=/dev/testfs bs=1M count=1000 （這里生成的文件?小是1G，如果需要更改大小，修改count后面的值就可以了）
mke2fs  -t ext4  /dev/testfs （格式化文件系統）
cp   -a  /tmp  /tmp.bak  (把之前存在于/tmp下的文件拷貝出來，以免再后面執行掛載的時候覆蓋掉之前的文件)
mount -o  loop,noexec,nosuid,rw  /dev/testfs  /tmp（掛載到tmp目錄下）
chmod 1777 /tmp
mv  -f  /tmp.bak/*  /tmp
rm  -rf  /tmp.bakecho "/dev/testfs  /tmp ext4 loop,nosuid,noexec,rw 0 0">>/etc/fstab（寫入配置文件，下次開機自動掛載）

最后，測試一下掛載設置之后是否有效?

新建一個test.sh文件，具有執行權限，實驗如截圖：

從截圖可以看到雖然具有執行權限，但是在 /tmp 下面已經無法執行任何文件了.