/ dev / shm＆/ proc硬化

Question

/ dev/shmと/ procのセキュリティ保護についての言及を見たことがありますが、それをどのように行うのか、それが何を行うのか疑問に思っていました。これには、ある種の権利の/etc/sysctl.conf編集が含まれると思います。

これらのように？

kernel.exec-shield = 1
kernel.randomize_va_space = 1

これらのように？

kernel.exec-shield = 1 kernel.randomize_va_space = 1

ewwhite · Answer

CIS Linux Security Benchmark に基づいて使用するプロセスは、/etc/fstabを変更して、/dev/shmマウントでのデバイスの作成、実行、およびsuidprivを制限することです。

shmfs /dev/shm tmpfs nodev,nosuid,noexec 0 0

Sysctl設定の場合、これらのいくつかを/etc/sysctl.confに追加するだけで機能します。 sysctl -pを実行してアクティブにします。

# CIS benchmarks fs.suid_dumpable = 0 kernel.exec-shield = 1 kernel.randomize_va_space = 2 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0

Daniel t. · Answer

ewwhiteはすでにCISLinuxセキュリティベンチマークの推奨事項について言及していますが、言及する価値のある別のセキュリティガイドラインも追加したいと思います- Red Hat Enterprise Linux 5の安全な構成のガイド NSAによる。/dev/shmにnodev,nosuid,noexecオプションを追加することに加えて、ネットワークに影響を与えるカーネルパラメータの推奨事項はセクション2.5.1-に記載されています。

ホストのみ

net.ipv4.ip forward = 0 net.ipv4.conf.all.send redirects = 0 net.ipv4.conf.default.send redirects = 0

ホストとルーター

 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.icmp_ignore_bogus_error_messages = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1