/ dev / shm & / proc durcissement

8

J'ai vu la mention de sécuriser / dev / shm et / proc et je me demandais comment vous faites cela et en quoi cela consiste-t-il? Je suppose que cela implique une modification de /etc/sysctl.conf d'une certaine sorte.

Comme ceux-ci?

kernel.exec-shield = 1
kernel.randomize_va_space = 1
linux security kernel Tiffany Walker
la source
Pour /dev/shm, je suppose que vous pouvez le désactiver ou restreindre les autorisations si vous n'avez aucune application qui nécessite une mémoire partagée POSIX. Mais /procje ne pense à rien de ce que tu pourrais faire. Ce système de fichiers est en fait assez vital pour que les commandes aiment psfonctionner. Avez-vous des références concernant ces pratiques de durcissement?
Celada
Nan. Je viens d'en entendre parler. Je sais qu'avec CloudLinux et GRSecurity Kernels, les utilisateurs ne peuvent que ps leurs processus dans / proc. Je ne sais pas si vous pouvez faire une sécurité similaire sur un noyau par défaut.
Tiffany Walker
Quelle version de Linux utilisez-vous actuellement?
ewwhite
1 serveur CL. Un autre GRSec. et plusieurs autres utilisent simplement le CentOS 6.x par défaut
Tiffany Walker

Réponses:

11

Le processus que j'utilise, basé sur le référentiel de sécurité CIS Linux , consiste à modifier /etc/fstabpour restreindre la création, l'exécution et les privilèges suid sur le /dev/shmmontage.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Pour les paramètres sysctl, il suffit d'ajouter certains d'entre eux aux /etc/sysctl.conftravaux. Courez sysctl -ppour l'activer.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
ewwhite
la source
2
Merci d'avoir mentionné le CIS Security Benchmark, chaque administrateur système soucieux de la sécurité doit lire et appliquer les recommandations pertinentes.
Daniel t.
Comment le monterais-tu? Tmpfs est-il le même que shmfs? Je reçois des tmpfs pour / dev / shm
Tiffany Walker
6

ewwhite a déjà mentionné les recommandations du CIS Linux Security Benchmark, je voudrais également ajouter une autre directive de sécurité qui mérite d'être mentionnée - Guide de la configuration sécurisée de Red Hat Enterprise Linux 5 par la NSA. En plus d'ajouter des nodev,nosuid,noexecoptions pour / dev / shm, les recommandations pour les paramètres du noyau qui affectent la mise en réseau sont mentionnées dans la section 2.5.1 -

Hôte uniquement

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Hôte et routeur

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1
Daniel t.
la source