Hardening
在強化新的 NetBSD 安裝時,您做了哪些特定更改?
我知道大多數一般建議:“關閉不必要的服務”、“不,關閉不必要的服務”、“最低權限”等。我還看到了一些指南和/或工具,例如 Bastille,用於強化 Linux 機器,但似乎沒有為 NetBSD 量身定制。
為了這個列表,假設我已經確定
root
沒有 SSH 訪問權限,但我還沒有安裝任何伺服器軟體。保護新的 NetBSD 機器的第一步是什麼?
更新:要清楚,我正在尋找具體的步驟。在伺服器管理方面,我完全是自學成才,但我覺得我對一般原則有很好的掌握。我正在尋找細節有兩個原因:
- 查看是否有任何我忽略的特定於 NetBSD 的內容。
- 看看其他人是否有更好的方法將一般原則付諸實踐。
謝謝。
請參閱NetBSD 手冊中的security(8)。你可以:
- 設置**安全級別**以
rc.conf
強化生產系統security.curtain = 1
在sysctl.conf中啟用以限制使用者互相看到。- 使相關文件不可變或僅附加chflags
- 在sysctl.conf ( , )中啟用 PaX mprotect和地址空間佈局隨機化 ( aslr ) 擴展
security.pax.mprotect.global=1``security.pax.aslr.global=1
- 考慮Veriexec驗證的二進製文件
另請參閱 Elad Efrat 的論文NetBSD 中的最新安全增強。
請注意,阻止更改二進製文件的功能也會阻止您升級系統,因此請準備在單使用者模式下進行升級。
PaX 擴展可能會阻止某些軟體(例如 gnu make)執行。您可以禁用 .global 標誌並使用paxctl在二進制基礎上設置 PaX 標誌。