1.1.8.1 确保/dev/shm分治

资讯类

/dev/shm目录可写世界目录,可函数共享存储器,促进进程间通信

原理性:

make/dev/shm自己的文件系统允许管理员设置附加挂载选项,如挂载代用选项,使攻击者安装可执行代码无益/dev/shm还可以防止攻击者建立硬链路并等待系统设置程序更新程序更新后硬链路破解攻击者拥有程序拷贝如果程序碰巧安全漏洞,攻击者可继续利用已知缺陷

可安装tmpfs到/dev/shm实现

撞击 :

/dev/shm目录原意世界可写化,如果不受单设分区约束,则资源耗竭风险。

/dev/shm使用tmpfs使用

求解

e/etc/fstab修改/dev/shm上载环境的具体配置需求
使用tmpfs并带专用挂载选项实例

tmpfs/dev/shmts默认值rw,nosuid,nodev,noexec,relatime2G0

并见

https://workbench.cisecurity.org/files/4230

项目细节

审核名称 :CIS Rocky Linux9服务器L1v1.0

类别 :冲突管理

引用 :800-53QM-6,800-53QM-7,CSCV79.2

插件 :ixix连接

控件标识符 :b449b7cf349a02958e5b12be0eeb7d15d7bd349011ee3b2970bfcda18d3f2ac1