Systemhärtung/Debian: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
== Allgemein == | == Allgemein == | ||
Einige der folgenden Einstellungen sind | ; Anmekung | ||
: Einige der folgenden Einstellungen sind bereits in der Default Einstellung so | |||
: * Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config | |||
; Backup | |||
Erstmal legen wir uns ein Backup der Default Config an | |||
sudo sysctl -a > /tmp/default_sysctl.txt | sudo sysctl -a > /tmp/default_sysctl.txt | ||
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. | dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. | ||
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein | Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein | ||
| Zeile 45: | Zeile 49: | ||
| fs.protected_regular=2 || | | fs.protected_regular=2 || | ||
|} | |} | ||
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden | |||
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit | Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit | ||
Version vom 2. November 2024, 13:35 Uhr
Allgemein
- Anmekung
- Einige der folgenden Einstellungen sind bereits in der Default Einstellung so
- * Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config
- Backup
Erstmal legen wir uns ein Backup der Default Config an
sudo sysctl -a > /tmp/default_sysctl.txt
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein.
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein
| Option | Beschreibung |
|---|---|
| kernel.kptr_restrict = 2 | |
| kernel.dmesg_restrict = 1 | |
| kernel.unprivileged_bpf_disabled=1 | |
| net.core.bpf_jit_harden=2 | |
| dev.tty.ldisc_autoload=0 | |
| vm.unprivileged_userfaultfd=0 | |
| kernel.kexec_load_disabled = 1 | |
| kernel.sysrq=4 | |
| kernel.unprivileged_userns_clone=0 | |
| kernel.perf_event_paranoid = 3 | |
| kernel.yama.ptrace_scope=2 | |
| vm.mmap_rnd_bits=32 | |
| vm.mmap_rnd_compat_bits=16 | |
| fs.protected_symlinks=1 | |
| fs.protected_hardlinks=1 | |
| fs.protected_fifos=2 | |
| fs.protected_regular=2 |
Die Erklärung zu den jeweiligen Konfigurationen kann unter dem Link in der Quellenangabe nachgelesen werden
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
service procps force-reload
sofort einlesen.
- Quelle