Tips for Hardening in Debian
Verfasst: 16.06.2021 15:31:58
Ein Paket, welches mich wegen seiner Einfachheit, Nachvollziehbarkeit und Modifizierbarkeit, auch für IT-Laien, begeistert, ist hardening-runtime, welches die Härtungs-Tips vom Kernel Self Protection Project über Konfigurationsdateien in Debian mit der Installation dieses Paketes umsetzt.
Hier die nach der Installation eingefügten Konfigurationen:
Mit der Ausgabe:
Und:
Mit der Ausgabe:
Wer ähnlich einfach umzusetztende Härtungs-Methoden kennt, kann diese hier gerne benennen.
Auf die einfach umzusetztende Methode der Code-Reduzierung sei hier ebenfalls noch einmal kurz hingewiesen:
https://wiki.debian.org/ReduceDebian
viewtopic.php?f=12&t=178677&hilit=reduce+debian
Auditprogramme, wie lynis, die selbst Härtungsvorschläge machen oder Benutzerhandbücher wie https://www.debian.org/doc/manuals/secu ... ex.de.html ordne ich eher dem Fortgeschrittenenbereich zu, nicht zuletzt, weil man hier selbst selektieren muss, was man umsetzen möchte.
An lynis möchte ich zudem kritisieren, dass man in dem von diesem Programm Ausgestellten Auditergebnis, dem "score", ein besseres Ergebnis erzielen kann, indem man gemäß der dortigen Vorschläge codegewaltige Software nachinstalliert. Dies steht meiner Meinung nach im Wiederspruch zu dem oben benannten Minimalisierungsgedanken und sollte von den Entwicklern von lynis kritischer betrachtet werden.
Hier die nach der Installation eingefügten Konfigurationen:
Code: Alles auswählen
# nano /etc/default/grub.d/01_hardening.cfg
Code: Alles auswählen
# Linux command line options recommended by the KSPP
# https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings#kernel_command_line_options
GRUB_CMDLINE_LINUX_DEFAULT="$GRUB_CMDLINE_LINUX_DEFAULT kaslr pti=on slab_nomerge page_poison=1 slub_debug=FPZ nosmt"
# Other interesting options are:
# - intel_iommu=on (sometimes intel_iommu=on,igfx_off) for enabing I/OMMU
# When done editing the file, rebuild grub configuration with: update-grub
Code: Alles auswählen
# nano /usr/lib/sysctl.d/10-hardening.conf
Code: Alles auswählen
# sysctl recommended by the KSPP
# https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings#sysctls
# Try to keep kernel address exposures out of various /proc files (kallsyms, modules, etc).
kernel.kptr_restrict = 1
# Avoid kernel memory address exposures via dmesg.
kernel.dmesg_restrict = 1
# Block non-uid-0 profiling (needs distro patch, otherwise this is the same as "= 2")
kernel.perf_event_paranoid = 3
# Turn off kexec, even if it's built in.
kernel.kexec_load_disabled = 1
# ptrace hardening
# 1: Avoid non-ancestor ptrace access to running processes and their credentials.
# 2: Restrict ptrace access to processes with CAP_SYS_PTRACE
# 3: Completely disable ptrace
kernel.yama.ptrace_scope = 1
# Disable User Namespaces, as it opens up a large attack surface to unprivileged users.
# On Debian kernel.unprivileged_userns_clone is set to 0 by default as well
user.max_user_namespaces = 0
# Turn off unprivileged eBPF access.
kernel.unprivileged_bpf_disabled = 1
# Turn on BPF JIT hardening, if the JIT is enabled.
net.core.bpf_jit_harden = 2
# On x86_64 this adds some bits to userspace ASLR
# vm.mmap_rnd_bits=32
# If all relevant modules have been loaded in the initramfs (by listing them in
# /etc/initramfs/modules and rebuilding the initramfs with update-initramfs,
# one can completely disable modules loading with:
# kernel.modules_disable=1
Auf die einfach umzusetztende Methode der Code-Reduzierung sei hier ebenfalls noch einmal kurz hingewiesen:
https://wiki.debian.org/ReduceDebian
viewtopic.php?f=12&t=178677&hilit=reduce+debian
Auditprogramme, wie lynis, die selbst Härtungsvorschläge machen oder Benutzerhandbücher wie https://www.debian.org/doc/manuals/secu ... ex.de.html ordne ich eher dem Fortgeschrittenenbereich zu, nicht zuletzt, weil man hier selbst selektieren muss, was man umsetzen möchte.
An lynis möchte ich zudem kritisieren, dass man in dem von diesem Programm Ausgestellten Auditergebnis, dem "score", ein besseres Ergebnis erzielen kann, indem man gemäß der dortigen Vorschläge codegewaltige Software nachinstalliert. Dies steht meiner Meinung nach im Wiederspruch zu dem oben benannten Minimalisierungsgedanken und sollte von den Entwicklern von lynis kritischer betrachtet werden.