Systemhärtung/Linux: Unterschied zwischen den Versionen
Erscheinungsbild
Keine Bearbeitungszusammenfassung |
|||
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
== | '''Systemhärtung/Linux''' | ||
== Beschreibung == | |||
; Backup | |||
Erstmal legen wir uns ein Backup der Default Config an | |||
sudo sysctl -a > /tmp/default_sysctl.txt | |||
; | |||
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. | dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. | ||
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein | Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein | ||
{| class="wikitable sortable options" | |||
{| class="wikitable sortable options big" | |||
|- | |- | ||
! | ! Parameter !! Beschreibung | ||
|- | |- | ||
| kernel.kptr_restrict = 2 || | | kernel.kptr_restrict = 2 || | ||
Zeile 47: | Zeile 49: | ||
| fs.protected_regular=2 || | | fs.protected_regular=2 || | ||
|} | |} | ||
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden | |||
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit | Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit | ||
service procps force-reload | |||
sofort einlesen. | sofort einlesen. | ||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}/}} | |||
=== Links === | |||
==== Weblinks ==== | |||
# https://www.kernel.org/doc/html/latest/admin-guide/sysctl/ | |||
[[Kategorie:Debian]] | |||
[[Kategorie:Hardening]] | |||
[[Kategorie:Linux/Sicherheit]] | |||
</noinclude> | |||
Aktuelle Version vom 23. Juni 2025, 09:25 Uhr
Systemhärtung/Linux
Beschreibung
- Backup
Erstmal legen wir uns ein Backup der Default Config an
sudo sysctl -a > /tmp/default_sysctl.txt
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein
Parameter | Beschreibung |
---|---|
kernel.kptr_restrict = 2 | |
kernel.dmesg_restrict = 1 | |
kernel.unprivileged_bpf_disabled=1 | |
net.core.bpf_jit_harden=2 | |
dev.tty.ldisc_autoload=0 | |
vm.unprivileged_userfaultfd=0 | |
kernel.kexec_load_disabled = 1 | |
kernel.sysrq=4 | |
kernel.unprivileged_userns_clone=0 | |
kernel.perf_event_paranoid = 3 | |
kernel.yama.ptrace_scope=2 | |
vm.mmap_rnd_bits=32 | |
vm.mmap_rnd_compat_bits=16 | |
fs.protected_symlinks=1 | |
fs.protected_hardlinks=1 | |
fs.protected_fifos=2 | |
fs.protected_regular=2 |
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
service procps force-reload
sofort einlesen.
Anhang
Siehe auch
Links
Weblinks