/ dev / shm & / proc härten

8

Ich habe erwähnt, dass / dev / shm und / proc gesichert wurden, und ich habe mich gefragt, wie Sie das machen und woraus es besteht? Ich gehe davon aus, dass dies die Bearbeitung von /etc/sysctl.conf beinhaltet.

Wie diese?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux security kernel Tiffany Walker
quelle
Für /dev/shm, nehme ich Sie es deaktivieren könnte oder die Berechtigungen beschränken , wenn Sie Speicher keine Anwendungen, die POSIX erfordern geteilt. Aber /procich kann mir nichts vorstellen, was du tun könntest. Dieses Dateisystem ist eigentlich sehr wichtig für Befehle, die gerne psfunktionieren. Haben Sie Hinweise zu solchen Härtungspraktiken?
Celada
Nee. Ich habe gerade von ihnen gehört. Ich weiß, dass Benutzer mit CloudLinux- und GRSecurity-Kerneln ihre Prozesse nur in / proc ps. Nur nicht sicher, ob Sie eine ähnliche Sicherheit für einen Standardkernel durchführen können.
Tiffany Walker
Welche Linux-Version verwenden Sie derzeit?
ewwhite
1 Server CL. Ein weiterer GRSec. und einige andere verwenden nur das Standard-CentOS 6.x
Tiffany Walker

Antworten:

11

Der Prozess, den ich basierend auf dem CIS Linux Security Benchmark verwende , besteht darin, Änderungen /etc/fstabvorzunehmen , um die Geräteerstellung, -ausführung und suid-Privilegien auf dem /dev/shmMount einzuschränken .

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Für die sysctl-Einstellungen /etc/sysctl.conffunktioniert es einfach, einige davon hinzuzufügen . Führen Sie sysctl -pzu aktivieren.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
quelle
2
Vielen Dank, dass Sie den CIS-Sicherheitsbenchmark erwähnt haben. Jeder sicherheitsbewusste Systemadministrator sollte die entsprechenden Empfehlungen lesen und anwenden.
Daniel t.
Wie würden Sie es montieren? Ist tmpfs dasselbe wie shmfs? Ich bekomme tmpfs für / dev / shm
Tiffany Walker
6

ewwhite hat bereits die Empfehlungen des CIS Linux Security Benchmark erwähnt. Ich möchte auch eine weitere erwähnenswerte Sicherheitsrichtlinie hinzufügen - Leitfaden zur sicheren Konfiguration von Red Hat Enterprise Linux 5 durch die NSA. Zusätzlich zum Hinzufügen von nodev,nosuid,noexecOptionen für / dev / shm werden die Empfehlungen für Kernelparameter, die sich auf das Netzwerk auswirken, in Abschnitt 2.5.1 - erwähnt.

Nur Host

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host und Router

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
quelle