/ dev / shm 및 / proc 강화

나는 / dev / shm과 / proc의 보안에 대한 언급을 보았는데 어떻게 당신이 어떻게하고 그것이 무엇으로 구성되어 있는지 궁금합니다. 나는 이것이 일종의 /etc/sysctl.conf 편집과 관련이 있다고 가정합니다.

이것들처럼?

kernel.exec-shield = 1
kernel.randomize_va_space = 1 

CIS Linux Security Benchmark 에 따라 사용하는 프로세스 /etc/fstab는 /dev/shm마운트 에서 장치 작성, 실행 및 suid priv을 제한 하도록 수정 하는 것 입니다.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

sysctl 설정의 경우 간단히 이들 중 일부를 /etc/sysctl.conf작동에 추가하십시오 . sysctl -p활성화하려면 실행하십시오 .

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

ewwhite는 이미 CIS Linux 보안 벤치 마크 권장 사항을 언급 했으며 NSA 가 Red Hat Enterprise Linux 5의 보안 구성 가이드를 언급 할만한 다른 보안 지침을 추가하고 싶습니다 . nodev,nosuid,noexec/ dev / shm에 대한 옵션 을 추가하는 것 외에도 네트워킹에 영향을주는 커널 매개 변수에 대한 권장 사항은 2.5.1 절에 나와 있습니다.

호스트 만

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

호스트 및 라우터

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1