/ dev / shm＆/ proc強化

/ dev / shmと/ procのセキュリティ保護についての言及を見てきましたが、それをどのように行うのか、それが何からなるのか疑問に思っていましたか？これには、/ etc / sysctl.confに何らかの正しい編集が含まれていると思います。

これらのように？

kernel.exec-shield = 1
kernel.randomize_va_space = 1 

私が使用するプロセスは、CIS Linux Security Benchmarkに基づいて、/etc/fstabデバイスの作成、実行、および/dev/shmマウント上のsuid特権を制限するように変更することです。

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

sysctl設定については、これらのいくつかを単に機能させるために追加し/etc/sysctl.confます。実行sysctl -pしてアクティブにします。

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

ewwhiteはすでにCIS Linuxセキュリティベンチマークの推奨事項について言及していますが、言及する価値のある別のセキュリティガイドラインを追加したいと思います-NSAによるRed Hat Enterprise Linux 5の安全な構成のガイド。nodev,nosuid,noexec/ dev / shmのオプションを追加することに加えて、ネットワーキングに影響を与えるカーネルパラメータの推奨事項をセクション2.5.1で説明します-

ホストのみ

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

ホストとルーター

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1