Управление временными файлами

• Запрет создания временных файлов (при необходимости).
• Разрешение создания только в определённых каталогах.
• Перенаправление записи временных файлов в безопасные или изолированные места.
• Удаление временных файлов после завершения их использования.

• Использование chroot-окружений или контейнеров (Docker, LXC), где доступ к файловой системе ограничен.
• Настройка AppArmor или SELinux для запрета записи во временные каталоги (/tmp, /var/tmp) для отдельных приложений.

• Использование переменных среды (%TEMP%, %TMP%) с указанием защищённых путей.
• Групповые политики для централизованного управления путями временных файлов.

• Переменные окружения ($TMPDIR, /tmp, /var/tmp).
• Использование tmpfs (временная файловая система в оперативной памяти) для особо чувствительных данных.

• Автоматическое удаление:
  • Настройка скриптов очистки (например, cron-задания в Linux).
  • Использование системных утилит (tmpwatch, tmpreaper).
• При завершении работы приложения:
  • Программное удаление временных файлов сразу после использования (например, в блоках try...finally или с помощью контекстных менеджеров в Python).

• Временные каталоги должны иметь строгие права доступа (только владелец, без доступа для группы и остальных).
• Ведение журналов создания и удаления временных файлов для последующего аудита.

# Создание изолированного каталога для временных файлов
mkdir -m 700 /secure/tmp/app1
chown appuser:appgroup /secure/tmp/app1

# Перенаправление приложения на использование этого каталога
export TMPDIR=/secure/tmp/app1

# Автоматическая очистка (например, раз в сутки)
echo "0 3 * * * find /secure/tmp/app1 -type f -mmin +1440 -delete" | crontab -u appuser -

import tempfile
import os

# Создание временного файла в защищённом каталоге
with tempfile.NamedTemporaryFile(dir='/secure/tmp/app1', delete=True) as tmp:
    tmp.write(b'конфиденциальные данные')
    # Файл будет автоматически удалён после выхода из блока

• Через свойства системы:

1. Откройте «Система» → «Дополнительные параметры системы» → «Переменные среды».
2. В разделе «Переменные среды пользователя» или «Системные переменные» найдите TEMP и TMP.
3. Измените путь на нужный каталог (например, D:\SecureTemp).
4. Создайте этот каталог и задайте нужные права доступа.

• Через групповые политики (GPO):

1. Откройте «gpedit.msc» → Конфигурация пользователя → Настройка Windows → Сценарии (вход/выход из системы).
2. Используйте сценарии входа для задания переменных среды.
3. Для доменных сред настройте GPO для всех пользователей.

1. Откройте свойства каталога (например, C:\Windows\Temp или D:\SecureTemp).
2. Перейдите на вкладку «Безопасность».
3. Удалите лишние группы, оставьте только нужных пользователей и SYSTEM.
4. Установите разрешения: «Полный доступ» — только для владельца и SYSTEM, остальным — «Чтение и выполнение» или запрет.

• С помощью планировщика заданий:

1. Откройте «Планировщик заданий».
2. Создайте новую задачу, настройте триггер (например, ежедневно).
3. В действии укажите команду:

cmd.exe /c "del /q /f /s D:\SecureTemp\*"

# Создать защищённый каталог
New-Item -ItemType Directory -Path "D:\SecureTemp" -Force
# Установить права (только SYSTEM и текущий пользователь)
$acl = Get-Acl "D:\SecureTemp"
$acl.SetAccessRuleProtection($true, $false)
$acl.Access | ForEach-Object { $acl.RemoveAccessRule($_) }
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("SYSTEM","FullControl","ContainerInherit,ObjectInherit","None","Allow")
$acl.AddAccessRule($rule)
Set-Acl "D:\SecureTemp" $acl

# Задать переменные среды
[Environment]::SetEnvironmentVariable("TEMP","D:\SecureTemp","User")
[Environment]::SetEnvironmentVariable("TMP","D:\SecureTemp","User")

• Опишите в карточке защитной меры, каким способом осуществляется очистка временных файлов и папок (с использованием скриптов, групповых политик, наложенных средств защиты информации).
• Учесть применяемое средство защиты информации в модуле "Активы"  (указать название, модель, сертификат соответствия (при необходимости) и иную информацию, затем привязать актив к карточке меры как инструмент.
• Привяжите созданный актив типа групповые политики к данной защитной мере в качестве инструмента (если настройка осуществлялась на контроллере домена с помощью GPO) или приложите скриншот настроек групповой политики в карточку защитной меры.
• Создайте шаблон регулярной задачи "Проверка работоспособности механизмов очистки временных файлов".