我知道大多数一般性建议:“关闭不必要的服务”、“不是真的,关闭不必要的服务”、“最低权限”等。我还看过一些指南和/或工具,例如 Bastille,用于加固 Linux 机器,但似乎没有为 NetBSD 量身定制。
为了这个列表,假设我已经确定root没有 SSH 访问,但我没有安装任何服务器软件。
保护新 NetBSD 设备的第一步是什么?
更新:明确地说,我正在寻找具体的步骤。在服务器管理方面,我完全是自学的,但我觉得我对一般原则有很好的掌握。我正在寻找详细信息有两个原因:
谢谢。
请参阅NetBSD 手册中的security(8)。你可以:
rc.conf硬化生产系统security.curtain = 1在sysctl.conf 中启用以限制用户互相看到。security.pax.mprotect.global=1security.pax.aslr.global=1另请参阅 Elad Efrat 的论文NetBSD 中的最新安全增强。
请注意,阻止更改二进制文件的功能也会阻止您升级系统,因此请准备在单用户模式下进行升级。
PaX 扩展可能会阻止某些软件(例如 gnu make)工作。您可以禁用 .global 标志并使用paxctl在二进制基础上设置 PaX 标志。