/ dev / shm & / proc endurecimento

O processo que uso, com base no teste comparativo de segurança do CIS Linux , é para modificar /etc/fstab para restringir a criação, execução e suid privs do dispositivo na /dev/shm mount.

shmfs        /dev/shm         tmpfs   nodev,nosuid,noexec        0 0

Para as configurações de sysctl, basta adicionar algumas delas a /etc/sysctl.conf works. Execute sysctl -p para ativar.

# CIS benchmarks
fs.suid_dumpable = 0
kernel.exec-shield = 1
kernel.randomize_va_space = 2
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

ewwhite já mencionou as recomendações de benchmark de segurança do CIS Linux, eu também gostaria de adicionar outra diretriz de segurança que vale a pena mencionar - Guia para a configuração segura do Red Hat Enterprise Linux 5 pela NSA. Além de adicionar as opções nodev,nosuid,noexec para / dev / shm, as recomendações para parâmetros do kernel que afetam a rede são mencionadas na seção 2.5.1 -

Somente host

net.ipv4.ip forward = 0
net.ipv4.conf.all.send redirects = 0
net.ipv4.conf.default.send redirects = 0

Host e roteador

 net.ipv4.conf.all.accept_source_route = 0
 net.ipv4.conf.all.accept_redirects = 0
 net.ipv4.conf.all.secure_redirects = 0
 net.ipv4.conf.all.log_martians = 1
 net.ipv4.conf.default.accept_source_route = 0
 net.ipv4.conf.default.accept_redirects = 0
 net.ipv4.conf.default.secure_redirects = 0
 net.ipv4.icmp_echo_ignore_broadcasts = 1
 net.ipv4.icmp_ignore_bogus_error_messages = 1
 net.ipv4.tcp_syncookies = 1
 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1