hardening

読み取り専用ファイルシステムからファイルをリダイレクトできますか?
hardening

読み取り専用ファイルシステムからファイルをリダイレクトできますか?

本質的に読み取り専用であり(SquashFSなど)、スワップが無効なファイルシステムを使用してLinuxイメージを作成するとします。読み取り専用とは、基本ファイルシステムとそのすべての内容が読み取り専用で読み取り専用としてマウントされており、ディレクトリのみが書き込み可能であることを意味します(たとえば、書き込み/tmp可能な別のストレージ/パーティションにリダイレクト)。 今私の質問は、誰かがそのシステムへのフルルートアクセス権を持っている場合は、ファイルの読み取り専用部分へのアクセスをだますことができるということです。たとえば、ファイルa.soが読み取り...

Admin

私のオフィス/研究室サーバーはこれらのサービスを提供する必要がありますか?
hardening

私のオフィス/研究室サーバーはこれらのサービスを提供する必要がありますか?

私の大学Ubuntu 22.04コンピュータが他のコンピュータに提供する必要があるサービスが何であるかを見つけようとしています。私はこのマシンに定期的にssh接続し、NFS私の研究室の他のコンピュータ間のサーバーとして使用します。しかし、このマシンが提供する他の何も考えることはできません。それで、不要なサービスをオフにしてコンピュータを頑丈にしようとしました。残念ながら、私はLinuxサービスとポートについて知っているので、何が必要で何が不要なのかわかりません。 走れば$ netstat -A inet --listening Active Internet...

Admin

VPS Linuxイメージのホスティング会社の変更を検出する
hardening

VPS Linuxイメージのホスティング会社の変更を検出する

私のVPSホスティング会社は、新しいDebian(およびその他)のVPSイメージ(スクリプト、ネットワーク構成、テレメトリなど)に「追加」を挿入します。 ホスティング会社がどのような変更を行ったかを確認するために、新しいVPSを公式イメージとどのように比較できますか? ...

Admin

sudoeditの設定
hardening

sudoeditの設定

Rhel8.6を強化していますが、「編集権限が必要な場合はsudoeditプログラムを使用する必要があります」というレポートが表示されます。報告されたディレクトリは/etc/sudoers/*です。 sudoeditをこのタスクの唯一のエディタとして設定するにはどうすればよいですか? ...

Admin

use_pty sudoers オプションは永続攻撃をどのように防止しますか?
hardening

use_pty sudoers オプションは永続攻撃をどのように防止しますか?

Debian 10 強化ガイドの規則によると、その他様々なレビューガイドCIS(Internet Security Center)では、use_pty次の理由でsudoersオプションの設定をお勧めします。 攻撃者はsudoを使用して、基本プログラムの実行が完了した後も残っているバックグラウンドプロセスをフォークする悪意のあるプログラムを実行する可能性があります。 マニュアルページには、sudoersコマンドが別の擬似端末で実行されたときに基本プロセスの実行が完了した後に、ユーザー端末へのアクセスを維持するバックグラウンドプロセスを実行できなくなることが...

Admin

私のパッケージに他のパッケージをインストールする権限が必要な場合は、systemdを7.0以下に拡張できますか?
hardening

私のパッケージに他のパッケージをインストールする権限が必要な場合は、systemdを7.0以下に拡張できますか?

私の質問に対する正解があるかどうかはわかりませんが、それでも試してみたいです。 systemdを使ってアプリケーションを強化したいです。問題は、私のパッケージに他のパッケージをインストールする権限が必要なことです(これが最も問題になることの1つです)。 NoNewPrivileges私はさまざまなProtectKernel、、、および他のいくつかを含む私の評価を約7.0に下げることができました。ProtectHomeProtectProcProtectClock 問題は、、、、、PrivateTmpなどの「最も強力な」項目を使用できないことです。Protec...

Admin

隠しコマンドへのルートアクセスを除くすべてを無効にします。
hardening

隠しコマンドへのルートアクセスを除くすべてを無効にします。

Linuxセキュリティとrootアクセスの問題… 私はブロックチェーン検証であるノードが実行されるサーバーを設定しています。サーバーのセキュリティを強化しようとしています。ノードの実行に必要なポートを除くすべてのポートにufwを設定しました。私はed25519を使用して2FA、SSHを設定し、何も言わない理由で誰かが接続したかどうかを調べるのに時間を費やしました。誰かが権限を使用systemctlまたはpoweroff持つことを防ぐことはできますか?sudo目標は、稼働時間を最大化し、常に他のノードと同期することです。 とにかくbashSSHを許可するユーザ...

Admin

nsswitch.confとsysctl.confの改善
hardening

nsswitch.confとsysctl.confの改善

私の場合、Ubuntu 18.04でLinuxを強化するには、次の設定が必要であることをどこかで読みました(どこか忘れました)。 しかし、これらの値を使用すると、私のasp.netコアアプリケーションのリバースプロキシとして使用されるnginxで504ゲートウェイタイムアウトが発生します。 私はLinuxの背景知識がないので、コピー貼り付けだけしました。それで、これらの値を設定することが何を意味するのかわかりません。 私は値を誤って設定したのでしょうか? /etc/nsswitch.conf passwd:files shadow:files group:f...

Admin

GentooでHardened / selinuxプロファイルでsystemdを使用できますか?
hardening

GentooでHardened / selinuxプロファイルでsystemdを使用できますか?

または、次の設定を組み合わせるカスタムプロファイルを作成する必要がありますか?強化/selinuxそしてシステム個人情報?マスクも脱がないからシステムアプリケーション/systemdまたはUSEフラグを設定してください。システム一部のパッケージでは。 ...

Admin

Fedora 30:SELinuxに表示されていないデバイスファイルがないことを確認してください。
hardening

Fedora 30:SELinuxに表示されていないデバイスファイルがないことを確認してください。

Fedora 30を強化し、このような対策に触れました。open-scap.org実際、コマンドは次のようになります。 sudo find /dev -context *:device_t:* \( -type c -o -type b \) -printf "%p %Z\n" 私のシステムでは、以下を返します。 /dev/udmabuf system_u:object_r:device_t:s0 /dev/udmabufラベルは正しいですか? ...

Admin

無差別代入試行のブロック
hardening

無差別代入試行のブロック

"postfix/smtpd[28164]: 警告: 不明 [45.227.253.210]: SASL PLAIN 認証失敗: 認証失敗" 一般的に私はfall2banを使用しますが、openvzコンテナではFAIL2BANとFirewalldの一部が正しく機能しないようです。私の専用機器ではうまく機能しますが、vps設定では機能しません。ずっと前にSSHが標準外のポートから移動されたため、これらの試みはメールサーバーにのみ当てはまります。 だから質問は次のようになります。 Firewalld / Cento 7 / OpenVZ vpsコンテナでF...

Admin

RHEL 7サーバーからファイルシステムモジュールを削除して強化する方法は?
hardening

RHEL 7サーバーからファイルシステムモジュールを削除して強化する方法は?

CISガイドに従ってRHEL Linux Server 7を強化したいので、crushfsを削除したいと思います。 次のコマンドを入力しました。 modprobe -n -v cramfs 私は次の答えを得ました。 insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xz CISで言及されているものの代わりに:インストール/bin/true。私のシステムにそのようなファイルがないことがわかりました。 Q:出力とはどういう意味ですか?このような場合、cra...

Admin

「nodev」オプションを使用してファイルシステムをマウントするときのデフォルトの動作は何ですか?
hardening

「nodev」オプションを使用してファイルシステムをマウントするときのデフォルトの動作は何ですか?

nodev私はファイルシステムをマウントし、特別なファイル/デバイスをマウントすることを許可しない「RH413 Red Hat Server Hardening」プロセスでこの内容を読みました。しかし、例を示していません。 しかし、RHELシステムで次のことを行ったところ、ddnodevオプションを使用してファイルシステムをマウントすると、特殊文字デバイスをコマンドで生成されたファイルに関連付けることができないことがわかりました。後でnodevオプションを削除し、ddコマンドを使用して新しく作成されたファイルと文字デバイスを関連付けることができました。 ...

Admin