/ dev / shm & / Proc cứng

8

Tôi đã thấy đề cập đến việc bảo mật / dev / shm và / Proc và tôi đã tự hỏi làm thế nào bạn làm điều đó và nó bao gồm những gì? Tôi giả sử điều này liên quan đến việc chỉnh sửa /etc/sysctl.conf của một số loại quyền.

Giống những cái này?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux  security  kernel 
Tiffany Walker
nguồn
Đối với /dev/shm, tôi cho rằng bạn có thể vô hiệu hóa nó hoặc hạn chế quyền nếu bạn không có bất kỳ ứng dụng nào yêu cầu bộ nhớ chia sẻ POSIX. Nhưng đối với /proctôi không thể nghĩ bất cứ điều gì bạn có thể làm. Hệ thống tập tin đó thực sự khá quan trọng đối với các lệnh muốn pslàm việc. Bạn có bất kỳ tài liệu tham khảo liên quan đến thực hành cứng như vậy?
Celada
Không. Tôi vừa nghe nói về họ. Tôi biết với Hạt nhân CloudLinux và GRSecurity, người dùng chỉ có thể ps quy trình của họ trong / Proc. Chỉ không chắc chắn nếu bạn có thể thực hiện bảo mật tương tự trên một kernel mặc định.
Tiffany Walker
Phiên bản Linux nào bạn đang sử dụng?
ewwhite
1 máy chủ CL. Một GRSec khác. và một số người khác chỉ sử dụng CentOS 6.x mặc định
Tiffany Walker

Câu trả lời:

11

Quá trình tôi sử dụng, dựa trên Điểm chuẩn bảo mật CIS Linux , là sửa đổi /etc/fstabđể hạn chế việc tạo, thực thi và bảo mật thiết bị riêng tư trên giá /dev/shmtreo.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Đối với các cài đặt sysctl, chỉ cần thêm một số trong số này để /etc/sysctl.confhoạt động. Chạy sysctl -pđể kích hoạt.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
nguồn
2
Cảm ơn bạn đã đề cập đến Điểm chuẩn bảo mật CIS, mọi quản trị viên hệ thống có ý thức bảo mật nên đọc và áp dụng các khuyến nghị có liên quan.
Daniel t.
Làm thế nào bạn sẽ gắn kết nó? Là tmpfs giống như shmfs? Tôi nhận được tmpfs cho / dev / shm
Tiffany Walker
6

ewwhite đã đề cập đến các khuyến nghị về Điểm chuẩn bảo mật CIS Linux, tôi cũng muốn thêm một hướng dẫn bảo mật khác đáng được đề cập - Hướng dẫn về cấu hình bảo mật của Red Hat Enterprise Linux 5 của NSA. Ngoài việc thêm nodev,nosuid,noexectùy chọn cho / dev / shm, các đề xuất cho các tham số kernel ảnh hưởng đến kết nối mạng được đề cập trong phần 2.5.1 -

Chỉ lưu trữ

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Máy chủ và bộ định tuyến

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.