🔬 💍 📒 कठोर जेंटू: सेटअप 📻 👊🏻 👩‍⚕️

कठोर ट्यूनिंग में दो भाग होते हैं: कर्नेल ट्यूनिंग, और रोल ट्यूनिंग (RBAC या SELinux)। कर्नेल कॉन्फ़िगरेशन का एक उदाहरण 2.6.20 मैं अब दिखाऊंगा। और मैंने अभी तक RBAC / SELinux को कॉन्फ़िगर नहीं किया है।

मुझे लगता है कि यह सेटिंग्स को लाने के लिए सबसे ज्वलंत होगा क्योंकि वे मेनुकोनफिग बनाने में दिखते हैं - इससे उन लोगों के लिए "आंख से" पैक्स और ग्रैससिटी की क्षमताओं का मूल्यांकन करना संभव होगा, जिन्होंने अभी तक उनका सामना नहीं किया है।

कर्नेल के विभिन्न संस्करणों के बीच, वे थोड़ा भिन्न होते हैं, लेकिन महत्वपूर्ण रूप से नहीं।

PaX ---> . [*] Enable various PaX features ....... PaX Control ---> ......... [ ] Support soft mode ......... [*] Use legacy ELF header marking ......... [*] Use ELF program header marking ............. MAC system integration (none) ---> ....... Non-executable pages ---> ......... [*] Enforce non-executable pages ......... [*] . Segmentation based non-executable pages ......... [ ] Emulate trampolines ......... [*] Restrict mprotect() ......... [ ] . Disallow ELF text relocations ......... [ ] Enforce non-executable kernel pages ....... Address Space Layout Randomization ---> ......... [*] Address Space Layout Randomization ......... [*] . Randomize kernel stack base ......... [*] . Randomize user stack base ......... [*] . Randomize mmap() base ..... Miscellaneous hardening features ---> ....... [ ] Sanitize all freed memory ....... [*] Prevent invalid userland pointer dereference Grsecurity ---> . Security Level (Custom) ---> . Address Space Protection ---> ... [*] Deny writing to /dev/kmem, /dev/mem, and /dev/port ... [ ] Disable privileged I/O ... [*] Remove addresses from /proc/<pid>/[smaps|maps|stat] ... [*] Deter exploit bruteforcing ... [*] Runtime module disabling ... [*] Hide kernel symbols . Role Based Access Control Options ---> ... [*] Hide kernel processes ... (3) Maximum tries before password lockout ... (30) Time to wait after max password tries, in seconds . Filesystem Protections ---> ... [*] Proc restrictions ... [*] . Restrict /proc to user only ... [*] Additional restrictions ... [*] Linking restrictions ... [*] FIFO restrictions ... [*] Chroot jail restrictions ... [*] . Deny mounts ... [*] . Deny double-chroots ... [*] . Deny pivot_root in chroot ... [*] . Enforce chdir("/") on all chroots ... [*] . Deny (f)chmod +s ... [*] . Deny fchdir out of chroot ... [*] . Deny mknod ... [*] . Deny shmat() out of chroot ... [*] . Deny access to abstract AF_UNIX sockets out of chroot ... [*] . Protect outside processes ... [*] . Restrict priority changes ... [*] . Deny sysctl writes ... [*] . Capability restrictions . Kernel Auditing ---> ... [ ] Single group for auditing ... [ ] Exec logging ... [*] Resource logging ... [ ] Log execs within chroot ... [ ] Chdir logging ... [*] (Un)Mount logging ... [ ] IPC logging ... [*] Signal logging ... [*] Fork failure logging ... [ ] Time change logging ... [*] /proc/<pid>/ipaddr support ... [ ] ELF text relocations logging (READ HELP) . Executable Protections ---> ... [*] Enforce RLIMIT_NPROC on execs ... [*] Destroy unused shared memory ... [*] Dmesg(8) restriction ... [ ] Trusted Path Execution (TPE) . Network Protections ---> ... [*] Larger entropy pools ... [ ] Socket restrictions . Sysctl support ---> ... [*] Sysctl support ... [*] . Turn on features by default . Logging Options ---> ... (10) Seconds in between log messages (minimum) ... (4) Number of messages in a burst (maximum) [ ] Enable access key retention support [ ] Enable different security models

इनमें से अधिकांश सुविधाएँ उपयोगकर्ता के लिए पारदर्शी रूप से काम करती हैं। लेकिन एक जोड़ी है जिसे आप नोटिस कर सकते हैं: सबसे पहले, सामान्य उपयोगकर्ता अब अन्य उपयोगकर्ताओं की प्रक्रियाओं को नहीं देख पाएंगे, और दूसरी बात, वे / proc / में कुछ फ़ाइलों तक पहुंच खो देंगे, यही कारण है कि ifconfig, मार्ग, आदि का आउटपुट आदेश देता है। सामान्य उपयोगकर्ताओं द्वारा लॉन्च किया गया बहुत अधिक विनम्र हो जाएगा।

यह ध्यान दिया जाना चाहिए कि इनमें से अधिकांश विशेषताओं को sysctl के माध्यम से प्रबंधित किया जा सकता है। जो आमतौर पर खराब होता है। लेकिन क्या अच्छा है कि हैकर आधे में सिस्टम को तोड़ देता है, इन सुरक्षा को निष्क्रिय करने का अवसर देता है, और फिर पूरी तरह से टूट जाता है? सौभाग्य से, sysctl के माध्यम से बदलती Grececurity सेटिंग्स को ब्लॉक करना संभव है। ऐसा करने के लिए, /etc/sysctl.conf में जोड़ें:

 kernel.grsecurity.disable_modules = 1 kernel.grsecurity.grsec_lock = 1

जहां पहला कमांड कर्नेल मॉड्यूल के लोडिंग को प्रतिबंधित करता है (यह सर्वर पर कर्नेल में मॉड्यूल समर्थन को शामिल करने के लिए भी सबसे अच्छा नहीं है, लेकिन यदि यह संभव नहीं है, तो अब एक तरीका है: सिस्टम स्टार्टअप पर आवश्यक मॉड्यूल लोड करें, और फिर कर्नेल लोडिंग को k कर्नेल के साथ अक्षम करें। - ताकि कोई भी गलती से rootkit :) को लोड न करे), और दूसरा किसी भी Grececurity सेटिंग्स को बदलने पर रोक लगाता है।

इसका नुकसान यह है कि अगर आपको अभी भी मॉड्यूल को लोड करने की आवश्यकता है या ग्रामसुरिटी सुविधाओं के भाग को अक्षम करना है (उदाहरण के लिए, एक नया जेंटू बनाने के लिए चेरोट संरक्षण), तो आपको /etc/sysctl.conf और रिबूट को संपादित करना होगा।

दरअसल, इस पर कॉन्फ़िगरेशन खत्म हो गया है।

सारांश के रूप में, मैं आपको उन कमांडों का एक पूरा सेट दूंगा जो आपके Gentoo को कठोर में बदल देंगे:

 emerge hardened-sources #     (    # hardened),     . ln -snf ../usr/portage/profiles/hardened/x86/2.6/ /etc/make.profile #      CFLAGS  /etc/make.conf #   -O2. # : CFLAGS="-march=pentium-m -O2 -pipe" #   $PKGDIR ( /usr/portage/packages/)  #      #  -b  -k  emerge. emerge -C linux-headers emerge linux-headers glibc binutils gcc-config gcc #    ,   #    gcc (. <a href="http://www.gentoo.org/doc/en/gcc-upgrading.xml">GCC Upgrade Guide</a>). emerge -b glibc binutils gcc portage emerge -bke system emerge -ke world glsa-check -l | grep '\[N\]' #   ,    glsa-check. emerge -a --depclean emerge -uDNa world emerge paxtest paxctl gradm revdep-rebuild dispatch-conf #       Hardened, #    .

प्रारंभ। दूसरा भाग। अंत इस प्रकार है ...

कठोर जेंटू: सेटअप

More articles: