Systemhärtung/Debian: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 9: Zeile 9:


Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein.
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein.
{| class="wikitable"
{| class="wikitable sortable options"
|<code>kernel.kptr_restrict = 2</code>
|-
 
! Option !! Beschreibung
<code>kernel.dmesg_restrict = 1</code>
|-
 
| kernel.kptr_restrict = 2 ||
<code>kernel.unprivileged_bpf_disabled=1</code>
|-
 
| kernel.dmesg_restrict = 1 ||
<code>net.core.bpf_jit_harden=2</code>
|-
 
| kernel.unprivileged_bpf_disabled=1 ||
<code>dev.tty.ldisc_autoload=0</code>
|-
 
| net.core.bpf_jit_harden=2 ||
<code>vm.unprivileged_userfaultfd=0</code>
|-
 
| dev.tty.ldisc_autoload=0 ||
<code>kernel.kexec_load_disabled = 1</code>
|-
 
| vm.unprivileged_userfaultfd=0 ||
<code>kernel.sysrq=4</code>
|-
 
| kernel.kexec_load_disabled = 1 ||
<code>kernel.unprivileged_userns_clone=0</code>
|-
 
| kernel.sysrq=4 ||
<code>kernel.perf_event_paranoid = 3</code>
|-
 
| kernel.unprivileged_userns_clone=0 ||
<code>kernel.yama.ptrace_scope=2</code>
|-
 
| kernel.perf_event_paranoid = 3 ||
<code>vm.mmap_rnd_bits=32</code>
|-
 
| kernel.yama.ptrace_scope=2 ||
<code>vm.mmap_rnd_compat_bits=16</code>
|-
 
| vm.mmap_rnd_bits=32 ||
<code>fs.protected_symlinks=1</code>
|-
 
| vm.mmap_rnd_compat_bits=16 ||
<code>fs.protected_hardlinks=1</code>
|-
 
| fs.protected_symlinks=1 ||
<code>fs.protected_fifos=2</code>
|-
 
| fs.protected_hardlinks=1 ||
<code>fs.protected_regular=2</code>
|-
| fs.protected_fifos=2 ||
|-
| fs.protected_regular=2 ||
|}
|}



Version vom 20. April 2024, 11:36 Uhr

Debian: System Härten - Allgemein

Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an

1 sudo sysctl -a > /tmp/default_sysctl.txt

dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. Die Erklärung zu den jeweiligen Konfiguration kann unter dem Link in der Quellenangabe nachgelesen werden.

Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein.

Option Beschreibung
kernel.kptr_restrict = 2
kernel.dmesg_restrict = 1
kernel.unprivileged_bpf_disabled=1
net.core.bpf_jit_harden=2
dev.tty.ldisc_autoload=0
vm.unprivileged_userfaultfd=0
kernel.kexec_load_disabled = 1
kernel.sysrq=4
kernel.unprivileged_userns_clone=0
kernel.perf_event_paranoid = 3
kernel.yama.ptrace_scope=2
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
fs.protected_symlinks=1
fs.protected_hardlinks=1
fs.protected_fifos=2
fs.protected_regular=2

Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit

1 service procps force-reload

sofort einlesen. Quelle : https://www.kernel.org/doc/html/latest/admin-guide/sysctl/ Kategorien: Client, Linux, Server

Tags für diesen Artikel: client, kernel, linux, parameter, security, server

Artikel mit ähnlichen Themen:

  • xz-utils supply-chain attack : Scan nach Versionen
  • Proxmox 8 : Clusternode hat graues Ausrufezeichen
  • Debian 12 : ssh absichern mit port knocking
  • Überprüfen von EoL (End of Life) Software
  • Debian 12 : System Härten - Netzwerk