Systemhärtung/Debian: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== Debian 12 : System Härten - Allgemein == Geschrieben von Christopher Pope am Samstag, 26. August 2023 Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an {| class="wikitable" |1 |<code>sudo</code> <code>sysctl -a > /tmp/default_sysctl.txt</code>…“ |
Keine Bearbeitungszusammenfassung |
||
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
== | == Allgemein == | ||
Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an | Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an | ||
sudo sysctl -a > /tmp/default_sysctl.txt | |||
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. | dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. | ||
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden. | |||
2 | Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein | ||
{| class="wikitable sortable options" | |||
3 | |- | ||
! Option !! Beschreibung | |||
|- | |||
| kernel.kptr_restrict = 2 || | |||
|- | |||
| kernel.dmesg_restrict = 1 || | |||
|- | |||
| kernel.unprivileged_bpf_disabled=1 || | |||
|- | |||
| net.core.bpf_jit_harden=2 || | |||
|- | |||
| dev.tty.ldisc_autoload=0 || | |||
|- | |||
| vm.unprivileged_userfaultfd=0 || | |||
|- | |||
| kernel.kexec_load_disabled = 1 || | |||
|- | |||
| kernel.sysrq=4 || | |||
|- | |||
| kernel.unprivileged_userns_clone=0 || | |||
|- | |||
| kernel.perf_event_paranoid = 3 || | |||
|- | |||
| kernel.yama.ptrace_scope=2 || | |||
|- | |||
| vm.mmap_rnd_bits=32 || | |||
|- | |||
| vm.mmap_rnd_compat_bits=16 || | |||
|- | |||
| fs.protected_symlinks=1 || | |||
|- | |||
| fs.protected_hardlinks=1 || | |||
|- | |||
| fs.protected_fifos=2 || | |||
|- | |||
| fs.protected_regular=2 || | |||
|} | |||
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit | Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit | ||
service procps force-reload | |||
sofort einlesen. | sofort einlesen. | ||
; Quelle | |||
* https://www.kernel.org/doc/html/latest/admin-guide/sysctl/ | |||
[[Kategorie:Debian]] | |||
[[Kategorie:Härtung]] | |||
Aktuelle Version vom 4. Mai 2024, 12:38 Uhr
Allgemein
Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an
sudo sysctl -a > /tmp/default_sysctl.txt
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden.
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein
Option | Beschreibung |
---|---|
kernel.kptr_restrict = 2 | |
kernel.dmesg_restrict = 1 | |
kernel.unprivileged_bpf_disabled=1 | |
net.core.bpf_jit_harden=2 | |
dev.tty.ldisc_autoload=0 | |
vm.unprivileged_userfaultfd=0 | |
kernel.kexec_load_disabled = 1 | |
kernel.sysrq=4 | |
kernel.unprivileged_userns_clone=0 | |
kernel.perf_event_paranoid = 3 | |
kernel.yama.ptrace_scope=2 | |
vm.mmap_rnd_bits=32 | |
vm.mmap_rnd_compat_bits=16 | |
fs.protected_symlinks=1 | |
fs.protected_hardlinks=1 | |
fs.protected_fifos=2 | |
fs.protected_regular=2 |
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
service procps force-reload
sofort einlesen.
- Quelle