Systemhärtung/Debian: Unterschied zwischen den Versionen
Änderung 99197 von Dirkwagner (Diskussion) rückgängig gemacht. Markierung: Rückgängigmachung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 54: | Zeile 54: | ||
|} | |} | ||
sofort einlesen. | sofort einlesen. | ||
Quelle : | Quelle : | ||
<nowiki>https://www.kernel.org/doc/html/latest/admin-guide/sysctl/</nowiki> | <nowiki>https://www.kernel.org/doc/html/latest/admin-guide/sysctl/</nowiki> | ||
Kategorien: Client, Linux, Server | Kategorien: Client, Linux, Server | ||
Version vom 21. April 2024, 11:14 Uhr
Debian: System Härten - Allgemein
Einige der folgenden Einstellungen sind auch bereits in der Default Einstellung so. Da ich aber ein Set von Parametern für all meine Linux Systeme verwende setze ich diese nochmal explizit in einer config. Erstmal legen wir uns ein Backup der Default Config an
| 1 | sudo sysctl -a > /tmp/default_sysctl.txt
|
dann legen wir die Datei /etc/sysctl.d/97_hard.conf an und kopieren folgende Zeilen rein. Die Erklärung zu den jeweiligen Konfiguration kann unter dem Link in der Quellenangabe nachgelesen werden.
Auch hier gilt wieder die Einstellungen müssen zu der eingesetzten Software kompatible sein.
| Option | Beschreibung |
|---|---|
| kernel.kptr_restrict = 2 | |
| kernel.dmesg_restrict = 1 | |
| kernel.unprivileged_bpf_disabled=1 | |
| net.core.bpf_jit_harden=2 | |
| dev.tty.ldisc_autoload=0 | |
| vm.unprivileged_userfaultfd=0 | |
| kernel.kexec_load_disabled = 1 | |
| kernel.sysrq=4 | |
| kernel.unprivileged_userns_clone=0 | |
| kernel.perf_event_paranoid = 3 | |
| kernel.yama.ptrace_scope=2 | |
| vm.mmap_rnd_bits=32 | |
| vm.mmap_rnd_compat_bits=16 | |
| fs.protected_symlinks=1 | |
| fs.protected_hardlinks=1 | |
| fs.protected_fifos=2 | |
| fs.protected_regular=2 |
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
| 1 | service procps force-reload
|
sofort einlesen.
Quelle : https://www.kernel.org/doc/html/latest/admin-guide/sysctl/
Kategorien: Client, Linux, Server