Hardening/Linux/Kernel
Hardening/Linux/Kernel
sysctl
- Backup
Erstmal legen wir uns ein Backup der Default Config an
sudo sysctl -a > /tmp/default_sysctl.txt
- Konfiguration
Datei /etc/sysctl.d/97_hard.conf anlegen und die folgenden Parameter eintragen
- Einstellungen müssen mit der eingesetzten Software kompatibel sein
Parameter
| Parameter | Beschreibung |
|---|---|
| kernel.kptr_restrict = 2 | |
| kernel.dmesg_restrict = 1 | |
| kernel.unprivileged_bpf_disabled=1 | |
| net.core.bpf_jit_harden=2 | |
| dev.tty.ldisc_autoload=0 | |
| vm.unprivileged_userfaultfd=0 | |
| kernel.kexec_load_disabled = 1 | |
| kernel.sysrq=4 | |
| kernel.unprivileged_userns_clone=0 | |
| kernel.perf_event_paranoid = 3 | |
| kernel.yama.ptrace_scope=2 | |
| vm.mmap_rnd_bits=32 | |
| vm.mmap_rnd_compat_bits=16 | |
| fs.protected_symlinks=1 | |
| fs.protected_hardlinks=1 | |
| fs.protected_fifos=2 | |
| fs.protected_regular=2 |
- Aktivierung
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
sudo sysctl --system
sofort einlesen.