Я видел упоминания о защите / dev / shm и / proc, и мне было интересно, как вы это делаете и из чего это состоит? Я предполагаю, что это связано с каким-то правым редактированием /etc/sysctl.conf.
Как это?
kernel.exec-shield = 1
kernel.randomize_va_space = 1
Я использую процесс, основанный на Тест безопасности Linux в СНГ, заключается в изменении /etc/fstab
ограничить создание и выполнение устройств, а также права suid на /dev/shm
крепление.
shmfs /dev/shm tmpfs nodev,nosuid,noexec 0 0
Для настроек sysctl просто добавьте некоторые из них в /etc/sysctl.conf
работает. Бегать sysctl -p
активировать.
# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite уже упоминал рекомендации CIS Linux Security Benchmark, я также хотел бы добавить еще одно руководство по безопасности, о котором стоит упомянуть - Руководство по безопасной настройке Red Hat Enterprise Linux 5 АНБ. Помимо добавления nodev,nosuid,noexec
параметры для / dev / shm, рекомендации по параметрам ядра, влияющим на работу сети, упомянуты в разделе 2.5.1 -
Только хост
net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0
Хост и маршрутизатор
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_messages = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1