/ dev / shm & / proc indurimento

8

Ho visto menzionare la protezione di / dev / shm e / proc e mi chiedevo come lo fai e cosa consiste nel fare? Presumo che ciò implichi la modifica di /etc/sysctl.conf in qualche modo corretta.

Come questi?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux  security  kernel 
Tiffany Walker
fonte
Per /dev/shm, suppongo che si possa disabilitare o limitare le autorizzazioni se non si dispone di tutte le applicazioni che richiedono la memoria condivisa POSIX. Ma perché /procnon riesco a pensare a nulla che tu possa fare. Quel file system è in realtà abbastanza vitale per i comandi che psfunzionano. Avete riferimenti su tali pratiche di indurimento?
Celada,
No. Ne ho appena sentito parlare. Conosco i kernel CloudLinux e GRSecurity, gli utenti possono solo ps i loro processi in / proc. Non sono sicuro di poter fare una sicurezza simile su un kernel predefinito.
Tiffany Walker,
Quale versione di Linux stai attualmente utilizzando?
ewwhite,
1 server CL. Un altro GRSec. e molti altri usano semplicemente CentOS 6.x predefinito
Tiffany Walker,

Risposte:

11

Il processo che utilizzo, basato sul CIS Linux Security Benchmark , è di modificare /etc/fstabper limitare la creazione, l'esecuzione e i privilegi del dispositivo su /dev/shmmount sul mount.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Per le impostazioni di sysctl, semplicemente aggiungendone alcune a /etc/sysctl.confWorks. Corri sysctl -pper attivare.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
fonte
2
Grazie per aver menzionato il CIS Security Benchmark, ogni amministratore di sistema attento alla sicurezza dovrebbe leggere e applicare le raccomandazioni pertinenti.
Daniel t.
Come lo monteresti? Tmpfs è uguale a shmfs? Ottengo tmpfs per / dev / shm
Tiffany Walker
6

ewwhite ha già menzionato le raccomandazioni del CIS Linux Security Benchmark, vorrei anche aggiungere un'altra linea guida sulla sicurezza degna di nota: la Guida alla configurazione sicura di Red Hat Enterprise Linux 5 da parte della NSA. Oltre ad aggiungere nodev,nosuid,noexecopzioni per / dev / shm, le raccomandazioni per i parametri del kernel che influenzano la rete sono menzionate nella sezione 2.5.1 -

Solo host

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host e router

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.