/ dev / shm & / proc কঠোর করা

আমি / dev / shm এবং / proc সুরক্ষার উল্লেখ দেখেছি এবং আমি ভাবছিলাম যে আপনি এটি কীভাবে করেন এবং এটি কী করে করে? আমি ধরে নিচ্ছি এর মধ্যে /etc/sysctl.conf কিছুটা সঠিক সম্পাদনা জড়িত।

এগুলার মত?

kernel.exec-shield = 1
kernel.randomize_va_space = 1 

সিআইএস লিনাক্স সুরক্ষা বেঞ্চমার্কের উপর ভিত্তি করে আমি যে প্রক্রিয়াটি ব্যবহার করি তা /etc/fstabহ'ল মাউন্টটিতে ডিভাইস তৈরি, প্রয়োগ এবং স্যুইড প্রাইভেসকে সীমাবদ্ধ করার জন্য পরিবর্তন করা /dev/shm।

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

সিস্টেস্টেল সেটিংসের জন্য, কেবলমাত্র এগুলির মধ্যে কিছু /etc/sysctl.confকাজ করে। sysctl -pসক্রিয় করতে চালান ।

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

ইডওয়াইটি ইতিমধ্যে সিআইএস লিনাক্স সুরক্ষা বেঞ্চমার্কের সুপারিশগুলি উল্লেখ করেছে, আমি উল্লেখ করার মতো আরও একটি সুরক্ষা নির্দেশিকাও যুক্ত করতে চাই - এনএসএ দ্বারা রেড হ্যাট এন্টারপ্রাইজ লিনাক্স 5 এর সুরক্ষিত কনভার। গাইডের গাইড । nodev,nosuid,noexec/ Dev / shm এর জন্য বিকল্পগুলি যুক্ত করার পাশাপাশি , কার্নেল পরামিতিগুলির জন্য সুপারিশগুলি নেটওয়ার্কিংকে প্রভাবিত করে যা বিভাগ 2.5.1-এ উল্লিখিত হয়েছে -

শুধুমাত্র হোস্ট

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

হোস্ট এবং রাউটার

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1