在Linux系统安全加固实践中,内核版本的差异性直接影响安全配置的有效性。本文以Ubuntu 20.04 LTS(5.4内核)和CentOS 8(4.18内核)为例,分享具体的内核安全配置优化方案。
1. 禁用不必要的内核模块 在Ubuntu 20.04系统中,通过修改/etc/modprobe.d/blacklist.conf文件,可以禁用潜在风险的模块:
# 禁用不必要内核模块
blacklist usb-storage
blacklist bluetooth
blacklist dccp
执行sudo update-initramfs -u使配置生效。
2. 启用内核参数防护 针对4.18内核的CentOS 8,配置以下内核参数:
# /etc/sysctl.conf
kernel.randomize_va_space = 2
kernel.exec-shield = 1
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
通过sudo sysctl -p应用配置。
3. 防止内核漏洞利用 对于已知的内核漏洞(如CVE-2021-3557),需通过以下方式限制:
# 禁用核心调试接口
echo 0 > /proc/sys/kernel/kptr_restrict
此配置可防止攻击者通过kptr泄露内核地址空间。
以上方案均可在实际环境中复现,建议结合具体业务环境进行适配。
讨论