/ dev / shm&/ proc強化


8

/ dev / shmと/ procのセキュリティ保護についての言及を見てきましたが、それをどのように行うのか、それが何からなるのか疑問に思っていましたか?これには、/ etc / sysctl.confに何らかの正しい編集が含まれていると思います。

これらのように?

kernel.exec-shield = 1
kernel.randomize_va_space = 1 

については/dev/shm、POSIX共有メモリを必要とするアプリケーションがない場合は、それを無効にしたり、権限を制限したりできると思います。しかし、/procあなたができることは何も思いつきません。そのファイルシステムは、実際psに動作するようなコマンドにとって非常に重要です。そのような強化の実践に関する参考資料はありますか?
Celada

いいえ。聞いたばかりです。CloudLinuxとGRSecurityカーネルでは、ユーザーは自分のプロセスを/ procでしかpsできません。デフォルトのカーネルで同様のセキュリティを実行できるかどうかはわかりません。
Tiffany Walker

現在使用しているLinuxのバージョンは何ですか?
ewwhite 2013

1サーバーCL。別のGRSec。その他のいくつかは、デフォルトのCentOS 6.xを使用しています
Tiffany Walker

回答:


11

私が使用するプロセスは、CIS Linux Security Benchmarkに基づいて、/etc/fstabデバイスの作成、実行、および/dev/shmマウント上のsuid特権を制限するように変更することです。

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

sysctl設定については、これらのいくつかを単に機能させるために追加し/etc/sysctl.confます。実行sysctl -pしてアクティブにします。

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

2
CISセキュリティベンチマークについて言及していただきありがとうございます。セキュリティを重視するすべてのシステム管理者は、関連する推奨事項を読んで適用する必要があります。
ダニエルt。

どのようにマウントしますか?tmpfsはshmfsと同じですか?/ dev / shmのtmpfsを取得します
Tiffany Walker

6

ewwhiteはすでにCIS Linuxセキュリティベンチマークの推奨事項について言及していますが、言及する価値のある別のセキュリティガイドラインを追加したいと思います-NSAによるRed Hat Enterprise Linux 5の安全な構成のガイドnodev,nosuid,noexec/ dev / shmのオプションを追加することに加えて、ネットワーキングに影響を与えるカーネルパラメータの推奨事項をセクション2.5.1で説明します-

ホストのみ

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

ホストとルーター

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.