原文链接:https://madaidans-insecurities.github.io/guides/linux-hardening.html#tiocsti
更新时间:2020 年 12 月 25 日
Linux 不是一个安全的开源系统。但是,你可以采取一些措施来提升它的安全性。本指南旨在说明如何尽可能加强 Linux 的安全性和隐私性。本指南试图与发行版无关,不限于任何特定的发行版本。
免责声明:如果你不清楚的知道你在做什么,请不要尝试应用本文中的任何内容。本指南仅关注安全性和隐私性,而不关注性能,可用性或其他任何内容。
在文章中列出的所有命令都是需要 root 权限的。以“$”开头的单词表示变量,不同用户的变量会存在差异,需要根据环境做出相应调整。
目录
- 选择正确的 Linux 发行版本
- 内核加固
- 稳定版本 VS 长期支持版本
- Sysctl
• Kernel 自我保护
• 网络
• 用户空间
- Boot 参数
• Kernel 自我保护
• CPU 缓解
• 效果
- 隐藏进程
- 减少内核攻击面
• Boot 参数
• 内核黑名单模块
• rfkill
- 其他内核指针泄露
- 限制对 sysfs 的访问
- Linux 强化包
- 安全性
- Linux 内核运行时防护
- 内核自编译
- 强制访问控制
- 沙盒
- 应用沙盒
- 常见的沙箱逃逸
• 脉冲音频
• D-Bus
• GUI 隔离
• 进程跟踪
• TIOCSTI
- Systemd 服务沙盒
- gVisor
- 虚拟机
- 强化内存分配器
- 强化编译标志
- 内存安全语言
- root 账号
- /etc/securetty
- 限制 su
- 锁定 root 账户
- 禁止 root 通过 SSH 登录
- 增加哈希轮数
- 限制 Xorg 的 root 访问
- 安全地访问 root
- 防火墙
- 身份标识
- 主机名和用户名
- 时区/语言区域/键盘映射
- 机器 ID
- MAC 地址欺骗
- 时间攻击
• ICMP 时间戳
• TCP 时间戳
• TCP 初始化序列号
• 时间同步
- 按键指纹
- 文件授权
- 设置 gid 和 uid
- 设置 unmask
- 核心转存
• sysctl
• systemd
• ulimit
- 内存交换
- PAM
- microcode 更新
- IPv6 隐私扩展
- 分区和挂载点
- 熵
- 额外的熵源
- RDRAND
- 以 root 权限编辑文件
- 特定发行版的强化
- HTTPS 包管理器镜像
- APT seccomp-bpf
- 物理安全
- 加密
- BIOS / UEFI 加固
- 引导程序密码
• GRUB
• Syslinux
• systemd-boot
- boot 校验
- USB 接口
- DMA 攻击
- 冷启动攻击
- 最佳实践
持续翻译中,欢迎 ━(`∀´)ノ亻!提意见
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于