Linux 安全加固指南

  |   0 评论   |   0 浏览

  原文链接:https://madaidans-insecurities.github.io/guides/linux-hardening.html#tiocsti

  更新时间:2020 年 12 月 25 日

  Linux 不是一个安全的开源系统。但是,你可以采取一些措施来提升它的安全性。本指南旨在说明如何尽可能加强 Linux 的安全性和隐私性。本指南试图与发行版无关,不限于任何特定的发行版本。

  免责声明:如果你不清楚的知道你在做什么,请不要尝试应用本文中的任何内容。本指南仅关注安全性和隐私性,而不关注性能,可用性或其他任何内容。

  在文章中列出的所有命令都是需要 root 权限的。以“$”开头的单词表示变量,不同用户的变量会存在差异,需要根据环境做出相应调整。

  目录

  1. 选择正确的 Linux 发行版本
  2. 内核加固
  1. 稳定版本 VS 长期支持版本
  2. Sysctl

  • Kernel 自我保护

  • 网络

  • 用户空间

  1. Boot 参数

  • Kernel 自我保护

  • CPU 缓解

  • 效果

  1. 隐藏进程
  2. 减少内核攻击面

  • Boot 参数

  • 内核黑名单模块

  • rfkill

  1. 其他内核指针泄露
  2. 限制对 sysfs 的访问
  3. Linux 强化包
  4. 安全性
  5. Linux 内核运行时防护
  6. 内核自编译
  1. 强制访问控制
  2. 沙盒
  1. 应用沙盒
  2. 常见的沙箱逃逸

  • 脉冲音频

  • D-Bus

  • GUI 隔离

  • 进程跟踪

  • TIOCSTI

  1. Systemd 服务沙盒
  2. gVisor
  3. 虚拟机
  1. 强化内存分配器
  2. 强化编译标志
  3. 内存安全语言
  4. root 账号
  1. /etc/securetty
  2. 限制 su
  3. 锁定 root 账户
  4. 禁止 root 通过 SSH 登录
  5. 增加哈希轮数
  6. 限制 Xorg 的 root 访问
  7. 安全地访问 root
  1. 防火墙
  2. 身份标识
  1. 主机名和用户名
  2. 时区/语言区域/键盘映射
  3. 机器 ID
  4. MAC 地址欺骗
  5. 时间攻击

  • ICMP 时间戳

  • TCP 时间戳

  • TCP 初始化序列号

  • 时间同步

  1. 按键指纹
  1. 文件授权
  1. 设置 gid 和 uid
  2. 设置 unmask
  1. 核心转存

  • sysctl

  • systemd

  • ulimit

  • setuid processes

  1. 内存交换
  2. PAM
  3. microcode 更新
  4. IPv6 隐私扩展
  1. NetworkManager
  2. systemd-networkd
  1. 分区和挂载点
  1. 额外的熵源
  2. RDRAND
  1. 以 root 权限编辑文件
  2. 特定发行版的强化
  1. HTTPS 包管理器镜像
  2. APT seccomp-bpf
  1. 物理安全
  1. 加密
  2. BIOS / UEFI 加固
  3. 引导程序密码

  • GRUB

  • Syslinux

  • systemd-boot

  1. boot 校验
  2. USB 接口
  3. DMA 攻击
  4. 冷启动攻击
  1. 最佳实践

  持续翻译中,欢迎 ━(`∀´)ノ亻!提意见

---------------------------------------------------------------
>> 博客地址:https://blog.mufengs.com
>> 邮箱地址:[email protected]
>> 微信帐号:Do8080
>> Github : https://github.com/mufengcoding
---------------------------------------------------------------