Hardening

在強化新的 NetBSD 安裝時,您做了哪些特定更改?

  • July 28, 2011

我知道大多數一般建議:“關閉不必要的服務”、“不,關閉不必要的服務”、“最低權限”等。我還看到了一些指南和/或工具,例如 Bastille,用於強化 Linux 機器,但似乎沒有為 NetBSD 量身定制。

為了這個列表,假設我已經確定root沒有 SSH 訪問權限,但我還沒有安裝任何伺服器軟體。

保護新的 NetBSD 機器的第一步是什麼?

更新:要清楚,我正在尋找具體的步驟。在伺服器管理方面,我完全是自學成才,但我覺得我對一般原則有很好的掌握。我正在尋找細節有兩個原因:

  1. 查看是否有任何我忽略的特定於 NetBSD 的內容。
  2. 看看其他人是否有更好的方法將一般原則付諸實踐。

謝謝。

請參閱NetBSD 手冊中的security(8)。你可以:

  • 設置**安全級別**以rc.conf強化生產系統
  • security.curtain = 1sysctl.conf中啟用以限制使用者互相看到。
  • 使相關文件不可變附加chflags
  • 在sysctl.conf ( , )中啟用 PaX mprotect和地址空間佈局隨機化 ( aslr ) 擴展security.pax.mprotect.global=1``security.pax.aslr.global=1
  • 考慮Veriexec驗證的二進製文件

另請參閱 Elad Efrat 的論文NetBSD 中的最新安全增強

請注意,阻止更改二進製文件的功能也會阻止您升級系統,因此請準備在單使用者模式下進行升級。

PaX 擴展可能會阻止某些軟體(例如 gnu make)執行。您可以禁用 .global 標誌並使用paxctl在二進制基礎上設置 PaX 標誌。

引用自:https://serverfault.com/questions/230135