Go to:
Gentoo Home
Documentation
Forums
Lists
Bugs
Planet
Store
Wiki
Get Gentoo!
Gentoo's Bugzilla – Attachment 65429 Details for
Bug 101753
[vi] Gentoo security guide
Home
|
New
–
[Ex]
|
Browse
|
Search
|
Privacy Policy
|
[?]
|
Reports
|
Requests
|
Help
|
New Account
|
Log In
[x]
|
Forgot Password
Login:
[x]
security/shb-kernel.xml
shb-kernel.xml (text/plain), 7.58 KB, created by
Nguyen Thai Ngoc Duy (RETIRED)
on 2005-08-08 07:48:59 UTC
(
hide
)
Description:
security/shb-kernel.xml
Filename:
MIME Type:
Creator:
Nguyen Thai Ngoc Duy (RETIRED)
Created:
2005-08-08 07:48:59 UTC
Size:
7.58 KB
patch
obsolete
><?xml version='1.0' encoding='UTF-8'?> ><!-- $Header: /cvsroot/vnoss/docs/gentoo-hb/security/shb-kernel.xml,v 1.2 2005/07/05 12:55:40 pclouds Exp $ --> ><!-- $OldHeader: /var/cvsroot/gentoo/xml/htdocs/doc/vi/security/shb-kernel.xml,v 1.1 2005/06/01 15:43:47 neysx Exp $ --> ><!DOCTYPE sections SYSTEM "/dtd/book.dtd"> > ><!-- The content of this document is licensed under the CC-BY-SA license --> ><!-- See http://creativecommons.org/licenses/by-sa/1.0 --> > ><sections> > ><version>1.0</version> ><date>2005-05-31</date> > ><section> ><title>Loại bá» tÃnh nÄng</title> ><body> > ><p> >Nguyên tắc cÆ¡ bản khi cấu hình kernel là loại bá» má»i thứ bạn không >cần. NhÆ° váºy không những bạn có Äược má»t kernel nhá» mà còn loại bá» lá» >há»ng có thá» có bên trong các driver và các tÃnh nÄng khác. ></p> > ><p> >Ngoà i ra cÅ©ng nên xem xét tắt há» trợ nạp module. Mặc dù vẫn có thá» cà i >rootkit mà không cần tÃnh nÄng nà y, nhÆ°ng Ãt ra nó sẽ gây khó khÄn cho >kẻ tấn công muá»n cà i Äặt rootkit dạng kernel module. ></p> > ></body> ></section> ><section> ><title>Há» táºp tin proc</title> ><body> > ><p> >Nhiá»u tham sá» kernel có thá» Äược Äiá»u chá»nh bằng há» táºp tin ><path>/proc</path> hoặc bằng <c>sysctl</c>. ></p> > ><p> >Äá» thay Äá»i Äá»ng các tham sá» kernel và các biến khác, bạn cần Äá»nh >nghÄ©a <c>CONFIG_SYSCTL</c> trong kernel. Äây là mặc Äá»nh cho kernel >2.4 chuẩn. ></p> > ><pre caption="Tắt IP forwarding"> ># <i>/bin/echo "0" > /proc/sys/net/ipv4/ip_forward</i> ></pre> > ><p> >Nhá» tắt IP forwarding. Chúng ta chá» cần nó vá»i multi-homed host. Tá»t >nhất nên thay Äá»i thông sá» IP forwarding trÆ°á»c má»i thay Äá»i khác vì >thay Äá»i thôgn sá» nà y có thỠảnh hÆ°á»ng Äến những cái khác. ></p> > ><pre caption="Bá» qua ping packet"> ># <i>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all</i> ></pre> > ><p> >Lá»nh trên kêu kernel bá» qua má»i gói ping (ICMP type 0 message). Nguyên >nhân là vì các gói IP chứa ICMP có thá» chứa những thứ khác mà bạn >không nghÄ© tá»i. Quản trá» há» thá»ng dùng ping là m công cụ chẩn Äoán và >thÆ°á»ng than phiá»n nếu nó bá» tắt, nhÆ°ng không có lý do nà o Äá» cho phép >kẻ lạ bên ngoà i có quyá»n ping. Tuy nhiên, Äôi khi cÅ©ng cần thiết cho >những ngÆ°á»i bên trong Äược phép ping, bạn có thá» tắt ICMP type 0 >message trong firewall (cho phép quản trá» cục bá» dùng công cụ nà y). ></p> > ><pre caption="Bá» qua broadcast ping"> ># <i>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</i> ></pre> > ><p> >Lá»nh trên tắt phản há»i vá»i ICMP broadcast và tránh Smurf attack. Smurf >attack hoạt Äá»ng bằng cách gá»i ICMP type 0 (ping) Äến Äá»a chá» >broadcast trên mạng. Má»t kẻ tấn công Äiá»n hình sẽ dùng má»t Äá»a chá» >nguá»n giả. Má»i máy trên mạng sẽ trả lá»i cho ping message, và nhÆ° thế >vô tình tấn công và o máy bá» giả Äá»a chá» nguá»n. ></p> > ><pre caption="Tắt source routed packet"> ># <i>/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route</i> ></pre> > ><p> >Không Äược chấp nháºn source routed packet. Kẻ tấn công có thá» dùng >source routing Äá» tạo ra những thông tin tÆ°á»ng nhÆ° xuất phát từ bên >trong mạng, nhÆ°ng tháºt ra Äã Äược route ngược lại theo ÄÆ°á»ng nó Äến, >váºy là kẻ tấn công Äã xâm nháºp và o mạng của bạn. Source routing rất >hiếm khi Äược dùng, vì váºy tắt nó cÅ©ng không sao. ></p> > ><pre caption="Không chấp nháºn redirect"> ># <i>/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects</i> ># <i>/bin/echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects</i> ></pre> > ><p> >Không chấp nháºn các gói ICMP redirect. ICMP redirect có thá» Äược dùng >Äá» thay Äá»i routing table, và có thá» gây ra tác Äá»ng xấu. ></p> > ><pre caption="Bảo vá» trÆ°á»c các thông báo lá»i xấu"> ># <i>/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses</i> ></pre> > ><p> >Báºt bảo vá» trÆ°á»c các phản há»i thông báo lá»i nguy hiá»m. ></p> > ><pre caption="Lá»c reverse path"> ># <i>for i in /proc/sys/net/ipv4/conf/*; do > /bin/echo "1" > $i/rp_filter >done</i> ></pre> > ><p> >Báºt Lá»c reverse path. Nó giúp bảo Äảm các gói dùng Äá»a chá» nguá»n hợp >lá» bằng cách tá»± Äá»ng reject các gói Äến nếu network interface mà nó >Äến không khá»p vá»i thông tin trong routing table. Nó giúp chá»ng giả >IP. Bạn cần báºt nó vá»i từng cái trong <path>net/ipv4/conf/*</path>, >nếu không nó sẽ không hoạt Äá»ng hoà n toà n. ></p> > ><warn> >Tuy nhiên báºt Lá»c reverse path có thá» gây ra vấn Äá» nếu bạn dùng >routing không Äá»i xứng (packet từ bạn Äến má»t máy khác dùng má»t ÄÆ°á»ng >Äi khác vá»i ÄÆ°á»ng Äi từ máy Äó vá» máy bạn) hoặc nếu bạn thao tác trên >má»t máy non-routing, có và i IP trên các network interface khác nhau. ></warn> > ><pre caption="Log má»i gói redirect, source-routing hoặc source giả"> ># <i>/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians</i> ></pre> > ><p> >Log má»i gói redirect, source-routing hoặc source giả. ></p> > ><p> >Những thiết láºp nà y sẽ mất khi máy tÃnh khá»i Äá»ng lại. Bạn nên thêm >chúng và o <path>/etc/sysctl.conf</path>, sẽ tá»± Äá»ng Äược gói trong >init script <path>/etc/init.d/bootmisc</path>. ></p> > ><p> >Cú pháp của <path>/etc/sysctl.conf</path> khá ÄÆ¡n giản. Hãy bá» phần ><path>/proc/sys/</path> khá»i những ÄÆ°á»ng dẫn Äã Äá» cáºp á» trên và thay ><path>/</path> bằng <path>.</path>: ></p> > ><pre caption="LÆ°u và o sysctl.conf"> ><comment>(Dùng lá»nh echo):</comment> >/bin/echo "0" > /proc/sys/net/ipv4/ip_forward > ><comment>(LÆ°u và o sysctl.conf:)</comment> >net.ipv4.ip_forward = 0 ></pre> > ></body> ></section> ><section> ><title>Grsecurity</title> ><body> > ><p> >Patch từ <uri link="http://grsecurity.net">Grsecurity</uri> nằm trong >Gentoo kernel, nhÆ°ng mặc Äá»nh là tắt. Cấu hình kernel bạn nhÆ° bình >thÆ°á»ng và sau Äó cấu hình các tùy chá»n Grsecurity. Bản giải thÃch chi >tiết các tùy chá»n của Grsecurity (phiên bản 1.9) nằm á» >trang <uri link="/proj/en/hardened">Gentoo Hardened</uri>. ></p> > ><p> >Kernel <c>grsec-sources</c> chứa phiên bản Grsecurity 2.*. Thông tin >chi tiết vá» các bản patch Grsecurity cải tiến nằm á» <uri >link="http://www.grsecurity.net/">Grsecurity homepage</uri>. ></p> > ></body> ></section> ><section> ><title>Kerneli</title> ><body> > ><p> ><uri link="http://www.Kerneli.org">Kerneli</uri> là patch thêm há» trợ >mã hóa và o kernel. Dùng patch nà y, kernel của bạn sẽ có những tùy chá»n >má»i nhÆ° các thuáºt toán mã hóa, digest, và các bá» lá»c mã hóa dạng loop. ></p> > ><warn> >Patch kerneli hiá»n thá»i không có cho phiên bản á»n Äá»nh của kernel má»i >nhất, váºy hãy cẩn tháºn khi dùng nó. ></warn> > ></body> ></section> ><section> ><title>Các kernel patch khác</title> ><body> > ><ul> ><li><uri link="http://www.openwall.com">The OpenWall Project</uri></li> ><li><uri link="http://www.lids.org">Linux Intrusion Detection System</uri></li> ><li><uri link="http://www.rsbac.org">Rule Set Based Access Control</uri></li> ><li> > <uri link="http://www.nsa.gov/selinux">NSA's security enhanced kernel</uri> ></li> ><li><uri link="http://sourceforge.net/projects/wolk/">Wolk</uri></li> ></ul> > ><p> >Có lẽ còn nhiá»u nữa. ></p> > ></body> ></section> ></sections>
<b>You cannot view the attachment while viewing its details because your browser does not support IFRAMEs. <a href="attachment.cgi?id=65429">View the attachment on a separate page</a>.</b>
View Attachment As Raw
Actions:
View
Attachments on
bug 101753
:
65422
|
65423
|
65425
|
65426
|
65427
|
65428
| 65429 |
65430
|
65431
|
65432
|
65433
|
65434
|
65435
|
65436
|
65437
|
65438
|
65439
