/ dev / shm & / proc pengerasan

8

Saya telah melihat menyebutkan mengamankan / dev / shm dan / proc dan saya bertanya-tanya bagaimana Anda melakukan itu dan apa yang dilakukan dengan melakukan? Saya berasumsi ini melibatkan /etc/sysctl.conf beberapa jenis hak.

Seperti ini?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux  security  kernel 
Tiffany Walker
sumber
Sebab /dev/shm, saya kira Anda bisa menonaktifkannya atau membatasi izin jika Anda tidak memiliki aplikasi yang memerlukan memori bersama POSIX. Tetapi karena /procsaya tidak dapat memikirkan apa pun yang dapat Anda lakukan. Sistem file itu sebenarnya sangat vital untuk perintah yang suka psbekerja. Apakah Anda memiliki referensi mengenai praktik pengerasan tersebut?
Celada
Nggak. Saya baru saja mendengar tentang mereka. Saya tahu dengan CloudLinux dan Kernel GRSecurity, pengguna hanya dapat melakukan prosesnya di / proc. Hanya tidak yakin apakah Anda dapat melakukan keamanan yang sama pada kernel default.
Tiffany Walker
Versi Linux apa yang saat ini Anda gunakan?
ewwhite
1 server CL. GRSec lainnya. dan beberapa lainnya hanya menggunakan CentOS 6.x default
Tiffany Walker

Jawaban:

11

Proses yang saya gunakan, berdasarkan Tolok Ukur Keamanan CIS Linux , adalah memodifikasi /etc/fstabuntuk membatasi pembuatan perangkat, eksekusi, dan suid privs di /dev/shmmount.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Untuk pengaturan sysctl, cukup tambahkan beberapa di antaranya untuk /etc/sysctl.confberfungsi. Jalankan sysctl -puntuk mengaktifkan.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
putih
sumber
2
Terima kasih telah menyebutkan Tolok Ukur Keamanan CIS, setiap admin sistem yang sadar keamanan harus membaca dan menerapkan rekomendasi yang relevan.
Daniel t.
Bagaimana Anda memasangnya? Apakah tmpfs sama dengan shmfs? Saya mendapatkan tmpfs untuk / dev / shm
Tiffany Walker
6

ewwhite telah menyebutkan rekomendasi Tolok Ukur Keamanan CIS Linux, saya juga ingin menambahkan pedoman keamanan lain yang layak disebut - Panduan Konfigurasi Aman Red Hat Enterprise Linux 5 oleh NSA. Selain menambahkan nodev,nosuid,noexecopsi untuk / dev / shm, rekomendasi untuk parameter kernel yang mempengaruhi jaringan disebutkan di bagian 2.5.1 -

Tuan rumah saja

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host dan Router

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.