/ dev / shm e / proc fortalecimento

8

Eu já vi menção de proteger / dev / shm e / proc e fiquei imaginando como você faz isso e o que consiste em fazer? Suponho que isso envolva algum tipo de edição /etc/sysctl.conf.

Como estes?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux security kernel Tiffany Walker
fonte
Para /dev/shm, eu suponho que você poderia desativá-lo ou restringir as permissões se você não tem nenhum aplicações que requerem POSIX memória compartilhada. Mas, porque /procnão consigo pensar em nada que você possa fazer. Esse sistema de arquivos é realmente muito vital para comandos como o pstrabalho. Você tem alguma referência a essas práticas de proteção?
Celada
Não. Acabei de ouvir falar deles. Eu sei que com o CloudLinux e o GRSecurity Kernels, os usuários podem apenas ps seus processos em / proc. Só não tenho certeza se você pode fazer segurança semelhante em um kernel padrão.
Tiffany Walker
Qual versão do Linux você está usando atualmente?
ewwhite
1 servidor CL. Outro GRSec. e vários outros apenas usar o CentOS padrão 6.x
Tiffany Walker

Respostas:

11

O processo que eu uso, com base no CIS Linux Security Benchmark , é modificar /etc/fstabpara restringir a criação, execução e suid privs de dispositivos na /dev/shmmontagem.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Para as configurações do sysctl, basta adicionar algumas delas ao /etc/sysctl.confWorks. Corra sysctl -ppara ativar.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
fonte
2
Obrigado por mencionar o CIS Security Benchmark, todo administrador de sistema consciente da segurança deve ler e aplicar as recomendações relevantes.
Daniel t.
Como você o montaria? Tmpfs é o mesmo que shmfs? Recebo tmpfs para / dev / shm
Tiffany Walker
6

A ewwhite já mencionou as recomendações do CIS Linux Security Benchmark, também gostaria de acrescentar outra diretriz de segurança que vale a pena mencionar - Guia para a Configuração Segura do Red Hat Enterprise Linux 5 pela NSA. Além de adicionar nodev,nosuid,noexecopções para / dev / shm, as recomendações para os parâmetros do kernel que afetam a rede são mencionadas na seção 2.5.1 -

Somente host

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host e roteador

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
fonte