/ dev / shm & / proc endurecimiento

8

He visto mención de asegurar / dev / shm y / proc y me preguntaba cómo lo haces y en qué consiste. Supongo que esto implica la edición /etc/sysctl.conf de algún tipo correcto.

¿Como estos?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux security kernel Tiffany Walker
fuente
Para /dev/shm, supongo que se podría desactivarlo o restringir los permisos, si usted no tiene todas las aplicaciones que requieren la memoria compartida POSIX. Pero /procno puedo pensar en nada que puedas hacer. Ese sistema de archivos es realmente vital para comandos como pspara funcionar. ¿Tiene alguna referencia sobre tales prácticas de endurecimiento?
Celada
No Acabo de enterarme de ellos. Sé que con CloudLinux y GRSecurity Kernels, los usuarios solo pueden ps sus procesos en / proc. Simplemente no estoy seguro si puede hacer una seguridad similar en un kernel predeterminado.
Tiffany Walker
¿Qué versión de Linux estás usando actualmente?
Ewwhite 01 de
1 servidor CL. Otro GRSec. y varios otros solo usan el CentOS 6.x predeterminado
Tiffany Walker

Respuestas:

11

El proceso que utilizo, basado en el CIS Linux Security Benchmark , es modificar /etc/fstabpara restringir la creación, ejecución y suid privs del dispositivo en el /dev/shmsoporte.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Para la configuración de sysctl, simplemente agregue algunos de estos a las /etc/sysctl.confobras. Corre sysctl -ppara activar.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
fuente
2
Gracias por mencionar el CIS Security Benchmark, cada administrador del sistema consciente de la seguridad debe leer y aplicar las recomendaciones pertinentes.
Daniel t.
¿Cómo lo montarías? ¿Es tmpfs lo mismo que shmfs? Tengo tmpfs para / dev / shm
Tiffany Walker
6

ewwhite ya ha mencionado las recomendaciones de CIS Linux Security Benchmark, también me gustaría agregar otra guía de seguridad que vale la pena mencionar: Guía para la configuración segura de Red Hat Enterprise Linux 5 por la NSA. Además de agregar nodev,nosuid,noexecopciones para / dev / shm, las recomendaciones para los parámetros del kernel que afectan la red se mencionan en la sección 2.5.1 -

Solo host

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host y enrutador

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
fuente