/ dev / shm & / proc закалка

8

Я видел упоминание о безопасности / dev / shm и / proc, и мне было интересно, как вы это делаете и из чего состоит? Я предполагаю, что это включает в себя /etc/sysctl.conf редактирование некоторого вида права.

Как это?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux  security  kernel 
Тиффани Уокер
источник
Для /dev/shm, я полагаю , вы можете отключить или ограничить права доступа , если у вас нет каких - либо приложений, требующих POSIX разделяемой памяти. Но /procя не могу придумать ничего, что ты мог бы сделать. Эта файловая система на самом деле очень важна для команд, которые любят psработать. Есть ли у вас какие-либо рекомендации относительно таких методов закалки?
Селада
Нет. Я только что слышал о них. Я знаю, что с CloudLinux и GRSecurity Kernels пользователи могут только ps свои процессы в / proc. Просто не уверен, что вы можете сделать аналогичную защиту на ядре по умолчанию.
Тиффани Уокер
Какую версию Linux вы сейчас используете?
ewwhite
1 сервер кл. Еще один GRSec. и некоторые другие просто используют CentOS 6.x по умолчанию
Tiffany Walker

Ответы:

11

Процесс, который я использую на основе CIS Linux Security Benchmark , заключается в изменении, /etc/fstabчтобы ограничить создание устройства, выполнение и suid privs на /dev/shmмонтировании.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Для настроек sysctl просто добавьте некоторые из них к /etc/sysctl.confработам. Беги, sysctl -pчтобы активировать.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
источник
2
Спасибо за упоминание Benchmark безопасности CIS, каждый администратор системы должен прочитать и применить соответствующие рекомендации.
Даниил Т.
Как бы вы его смонтировали? Является ли tmpfs таким же, как shmfs? Я получаю tmpfs для / dev / shm
Тиффани Уокер
6

ewwhite уже упомянул рекомендации CIS Linux Security Benchmark, я также хотел бы добавить еще одно руководство по безопасности, которое стоит упомянуть - Руководство по безопасной конфигурации Red Hat Enterprise Linux 5 NSA. Помимо добавления nodev,nosuid,noexecпараметров для / dev / shm, рекомендации для параметров ядра, которые влияют на работу сети, упомянуты в разделе 2.5.1 -

Только хост

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Хост и Маршрутизатор

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Даниил Т.
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.