Systemhärtung/Debian: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Keine Bearbeitungszusammenfassung
 
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Debian 12 : System Härten - Allgemein ==
'''Systemhärtung''' - Debian
Geschrieben von Christopher Pope am Samstag, 26. August 2023
Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an
{| class="wikitable"
|1
|<code>sudo</code> <code>sysctl -a > /tmp/default_sysctl.txt</code>
|}
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.
Die Erklärung zu den jeweiligen Konfiguration kann unter dem Link in der Quellenangabe nachgelesen werden.


Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein.
== Beschreibung ==
{| class="wikitable"
; Backup
|<code>kernel.kptr_restrict = 2</code>
Erstmal legen wir uns ein Backup der Default Config an
sudo sysctl -a > /tmp/default_sysctl.txt


<code>kernel.dmesg_restrict = 1</code>
;
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.


<code>kernel.unprivileged_bpf_disabled=1</code>
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein


<code>net.core.bpf_jit_harden=2</code>
{| class="wikitable sortable options"
 
|-
<code>dev.tty.ldisc_autoload=0</code>
! Option !! Beschreibung
 
|-
<code>vm.unprivileged_userfaultfd=0</code>
| kernel.kptr_restrict = 2 ||
 
|-
<code>kernel.kexec_load_disabled = 1</code>
| kernel.dmesg_restrict = 1 ||
 
|-
<code>kernel.sysrq=4</code>
| kernel.unprivileged_bpf_disabled=1 ||
 
|-
<code>kernel.unprivileged_userns_clone=0</code>
| net.core.bpf_jit_harden=2 ||
 
|-
<code>kernel.perf_event_paranoid = 3</code>
| dev.tty.ldisc_autoload=0 ||
|-
| vm.unprivileged_userfaultfd=0 ||
|-
| kernel.kexec_load_disabled = 1 ||
|-
| kernel.sysrq=4 ||
|-
| kernel.unprivileged_userns_clone=0 ||
|-
| kernel.perf_event_paranoid = 3 ||
|-
| kernel.yama.ptrace_scope=2 ||
|-
| vm.mmap_rnd_bits=32 ||
|-
| vm.mmap_rnd_compat_bits=16 ||
|-
| fs.protected_symlinks=1 ||
|-
| fs.protected_hardlinks=1 ||
|-
| fs.protected_fifos=2 ||
|-
| fs.protected_regular=2 ||
|}


<code>kernel.yama.ptrace_scope=2</code>
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden


<code>vm.mmap_rnd_bits=32</code>
<code>vm.mmap_rnd_compat_bits=16</code>
<code>fs.protected_symlinks=1</code>
<code>fs.protected_hardlinks=1</code>
<code>fs.protected_fifos=2</code>
<code>fs.protected_regular=2</code>
|}
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
{| class="wikitable"
service procps force-reload
|1
|<code>service procps force-reload</code>
|}
sofort einlesen.
sofort einlesen.
Quelle :
<nowiki>https://www.kernel.org/doc/html/latest/admin-guide/sysctl/</nowiki>
Kategorien: Client, Linux, Server


Tags für diesen Artikel: client, kernel, linux, parameter, security, server
<noinclude>
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
# https://www.kernel.org/doc/html/latest/admin-guide/sysctl/


Artikel mit ähnlichen Themen:
[[Kategorie:Debian]]
[[Kategorie:Härtung]]


* xz-utils supply-chain attack : Scan nach Versionen
</noinclude>
* Proxmox 8 : Clusternode hat graues Ausrufezeichen
* Debian 12 : ssh absichern mit port knocking
* Überprüfen von EoL (End of Life) Software
* Debian 12 : System Härten - Netzwerk

Aktuelle Version vom 2. November 2024, 13:46 Uhr

Systemhärtung - Debian

Beschreibung

Backup

Erstmal legen wir uns ein Backup der Default Config an 

sudo sysctl -a > /tmp/default_sysctl.txt

dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.

Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein

Option Beschreibung
kernel.kptr_restrict = 2
kernel.dmesg_restrict = 1
kernel.unprivileged_bpf_disabled=1
net.core.bpf_jit_harden=2
dev.tty.ldisc_autoload=0
vm.unprivileged_userfaultfd=0
kernel.kexec_load_disabled = 1
kernel.sysrq=4
kernel.unprivileged_userns_clone=0
kernel.perf_event_paranoid = 3
kernel.yama.ptrace_scope=2
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
fs.protected_symlinks=1
fs.protected_hardlinks=1
fs.protected_fifos=2
fs.protected_regular=2

Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden

Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit 

service procps force-reload

sofort einlesen.


Anhang

Siehe auch

Links

Weblinks
  1. https://www.kernel.org/doc/html/latest/admin-guide/sysctl/


Abgerufen von „https://wiki.foxtom.de/index.php?title=Systemhärtung/Debian&oldid=113590