我擦我擦,一看这个 Host Hardening也有一大堆书上没教的
課題 332: ホストセキュリティ
332.1 ホストハーデニング (総重量: 5)
総重量 5
説明 一般的な脅威に対して、Linuxが稼働しているコンピュータをよりセキュアにする。
主な知識分野:
BIOSとboot loader(GRUB 2)セキュリティの設定。
利用していないソフトウエアとサービスを無効化する。
特定のsystemdユニットと全体システムに対して、不必要な機能を理解し削除する。
アドレス空間のランダム化(ASLR: Address Space Layout Randomization )、Data Execution Prevention (DEP) 、 Exec-Shieldを理解し設定する。
ブラックリスト・ホワイトリストに分けられたUSBデバイスを、USBGuardを利用して、コンピュータに接続する。
CAを利用してホストとユーザーキーのSSH CA、SSH証明書を作成し、OpenSSHがSSH証明書を利用するように設定する。
chroot環境での作業
システムコールとプロセスに対して有効な機能を制限するために、systemdユニットを利用する。
特定のファイルやデバイスに、アクセスを制限したりアクセスさせないようにして、プロセスを起動するようにsystemdユニットを利用する。
専用のテンポラリディレクトリや/devディレクトリがあり、ネットワークアクセスができない状態のプロセスを起動するように、systemdユニットを利用する。
プロセスが消費することができるシステムリソースを制限するように、systemdユニットを利用することができる。
Linux MeltdownとSpectreの回避策の影響の理解と、回避策の有効化・無効化。
polkitの知識
仮想化とコンテナ化のセキュリティの利点の知識
用語とユーティリティ:
grub.cfg
systemctl
getcap
setcap
capsh
sysctl
/etc/sysctl.conf
/etc/usbguard/usbguard-daemon.conf
/etc/usbguard/rules.conf
usbguard
ssh-keygen
/etc/ssh/
~/.ssh/
/etc/ssh/sshd_config
chroot
啊啊啊这个人问得好啊既然soft limit可以在0和hard limit之间随便改那只设置hard limit不就完了
https://unix.stackexchange.com/questions/29577/ulimit-difference-between-hard-and-soft-limits
关于kernel的capability
先查了点资料
https://docker-practice.readthedocs.io/en/latest/security/kernel_capability/
感觉搜出来都和docker有关系,可是我一点没接触过docker 总之学到那里了再研究吧
老色在社畜站的分身