/ dev / shm和/ proc强化

8

我曾经提到过保护/ dev / shm和/ proc的安全,我想知道您如何做到这一点以及它的作用是什么?我认为这涉及对/etc/sysctl.conf的某种编辑。

像这些?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux  security  kernel 
蒂芙尼·沃克(Tiffany Walker)
source
对于/dev/shm,我想如果没有任何需要POSIX共享内存的应用程序,则可以禁用它或限制权限。但是因为/proc我想不起您能做的任何事情。对于像这样的命令来说ps,该文件系统实际上至关重要。您是否有关于此类强化实践的参考?
Celada
不。我刚刚听说过它们。我知道,使用CloudLinux和GRSecurity内核,用户只能在/ proc中ps他们的进程。只是不确定是否可以在默认内核上执行类似的安全性。
Tiffany Walker
您当前正在使用哪个版本的Linux?
ewwhite
1个服务器CL。另一个GRSec。其他几个仅使用默认的CentOS 6.x
Tiffany Walker

Answers:

11

我使用的基于CIS Linux Security Benchmark的过程是进行修改,/etc/fstab以限制设备的创建,执行和/dev/shm挂载上的suid privs 。

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

对于sysctl设置,只需将其中一些添加即可/etc/sysctl.conf。运行sysctl -p以激活。

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
怀特
source
2
感谢您提到CIS安全基准,每个对安全性敏感的系统管理员都应阅读并应用相关建议。
Daniel t。
您将如何安装它?tmpfs和shmfs一样吗?我得到了/ dev / shm的tmpfs
Tiffany Walker
6

ewwhite已经提到了CIS Linux Security Benchmark的建议,我还想添加另一个值得一提的安全指南-NSA的Red Hat Enterprise Linux 5安全配置指南。除了nodev,nosuid,noexec为/ dev / shm 添加选项之外,第2.5.1节还提到了影响网络的内核参数的建议-

仅主机

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

主机和路由器

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
丹尼尔t。
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.