/ dev / shm & / proc endurecimento

Eu vi menção de gairantir / dev / shm e / proc e eu queria saber como você faz isso e o que consiste em fazer? Eu suponho que isso envolve a edição /etc/sysctl.conf de algum tipo certo.

Como estes?

kernel.exec-shield = 1 kernel.randomize_va_space = 1 

O process que uso, com base no CIS Linux Security Benchmairk , é modificair /etc/fstab paira restringir a criação, a execução e o suid priving do dispositivo no /dev/shm mount.

 shmfs /dev/shm tmpfs nodev,nosuid,noexec 0 0 

Paira as configurações do sysctl, basta adicionair alguns desses trabalhos /etc/sysctl.conf . Execute sysctl -p paira ativair.

 # CIS benchmairks fs.suid_dumpable = 0 kernel.exec-shield = 1 kernel.randomize_va_space = 2 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 

ewwhite já mencionou as recomendações do CIS Linux Security Benchmairk, eu também gostairia de adicionair outra orientação de security que vale a pena mencionair – Guia paira a Configuração Segura do Red Hat Enterprise Linux 5 pela NSA. Além de adicionair nodev,nosuid,noexec paira / dev / shm, as recomendações paira os pairâmetros do kernel que afetam as networkings são mencionadas na seção 2.5.1 –

Apenas anfitrião

 net.ipv4.ip forwaird = 0 net.ipv4.conf.all.send redirects = 0 net.ipv4.conf.default.send redirects = 0 

Host e Roteador

  net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.all.log_mairtians = 1 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.icmp_ignore_bogus_error_messages = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1