/ dev / shm & / proc pengerasan

Saya telah melihat menyebutkan mengamankan / dev / shm dan / proc dan saya bertanya-tanya bagaimana Anda melakukan itu dan apa yang dilakukan dengan melakukan? Saya berasumsi ini melibatkan /etc/sysctl.conf beberapa jenis hak.

Seperti ini?

kernel.exec-shield = 1
kernel.randomize_va_space = 1

linux security kernel Tiffany Walker
sumber

Sebab /dev/shm, saya kira Anda bisa menonaktifkannya atau membatasi izin jika Anda tidak memiliki aplikasi yang memerlukan memori bersama POSIX. Tetapi karena /procsaya tidak dapat memikirkan apa pun yang dapat Anda lakukan. Sistem file itu sebenarnya sangat vital untuk perintah yang suka psbekerja. Apakah Anda memiliki referensi mengenai praktik pengerasan tersebut?

Celada

Nggak. Saya baru saja mendengar tentang mereka. Saya tahu dengan CloudLinux dan Kernel GRSecurity, pengguna hanya dapat melakukan prosesnya di / proc. Hanya tidak yakin apakah Anda dapat melakukan keamanan yang sama pada kernel default.

Tiffany Walker

Versi Linux apa yang saat ini Anda gunakan?

ewwhite

1 server CL. GRSec lainnya. dan beberapa lainnya hanya menggunakan CentOS 6.x default

Tiffany Walker

Jawaban:

Proses yang saya gunakan, berdasarkan Tolok Ukur Keamanan CIS Linux , adalah memodifikasi /etc/fstabuntuk membatasi pembuatan perangkat, eksekusi, dan suid privs di /dev/shmmount.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Untuk pengaturan sysctl, cukup tambahkan beberapa di antaranya untuk /etc/sysctl.confberfungsi. Jalankan sysctl -puntuk mengaktifkan.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

putih
sumber

Terima kasih telah menyebutkan Tolok Ukur Keamanan CIS, setiap admin sistem yang sadar keamanan harus membaca dan menerapkan rekomendasi yang relevan.

Daniel t.

Bagaimana Anda memasangnya? Apakah tmpfs sama dengan shmfs? Saya mendapatkan tmpfs untuk / dev / shm

Tiffany Walker

ewwhite telah menyebutkan rekomendasi Tolok Ukur Keamanan CIS Linux, saya juga ingin menambahkan pedoman keamanan lain yang layak disebut - Panduan Konfigurasi Aman Red Hat Enterprise Linux 5 oleh NSA. Selain menambahkan nodev,nosuid,noexecopsi untuk / dev / shm, rekomendasi untuk parameter kernel yang mempengaruhi jaringan disebutkan di bagian 2.5.1 -

Tuan rumah saja

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host dan Router

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1

Daniel t.
sumber