강화 - 운영 체제 권고 사항

강화 - 운영 체제 권고 사항에 대해 설명합니다.

SSH 구성

SSH 클라이언트 구성

SSH 서버 구성

# Example sshd config file. This supports public key authentication and

turns off several potential security risk areas

PubkeyAuthentication yes

Allow client to pass locale environment variables

Change default od 120 seconds to 60

override default of no subsystems

Protocol adjustments, these would be needed/recommended in a FIPS or

FedRAMP deployment, and use only strong and proven algorithm choices

방화벽 규칙

GitLab 인스턴스에서 아웃바운드 연결 허용

방화벽 추가 사항

커널 조정

Kernel tweaks for sysctl.conf ##

## The following help mitigate out of bounds, null pointer dereference, heap and

buffer overflow bugs, use-after-free etc from being exploited. It does not 100%

fix the issues, but seriously hampers exploitation.

# Default is 65536. Higher values provide stronger protection against NULL-pointer dereference exploits.

Use 4096 only if required for application compatibility, as it reduces the range of protected low memory addresses.

Default is 0, randomize virtual address space in memory, makes vuln exploitation

harder

Restrict kernel pointer access (for example, cat /proc/kallsyms) for exploit assistance

Restrict verbose kernel errors in dmesg

Restrict eBPF

Prevent common use-after-free exploits

Mitigation CVE-2024-1086 by preventing unprivileged users from creating namespaces

Networking tweaks ##

## Prevent common attacks at the IP stack layer

# Prevent SYNFLOOD denial of service attacks

Prevent time wait assassination attacks

IP spoofing/source routing protection

IP redirection protection

일반적인 강화 지침은 주요 강화 문서 에 설명되어 있습니다. 전반적인 보안을 향상시키기 위해 기본 운영 체제를 구성할 수 있습니다. GitLab Self-Managed와 같은 제어된 환경에서는 추가 단계가 필요하며 실제로 특정 배포에 종종 필요합니다. FedRAMP가 이러한 배포의 예입니다. SSH 구성 # SSH 클라이언트 구성 # 클라이언트 액세스(GitLab 인스턴스 또는 기본 운영 체제에 대한)의 경우 SSH 키 생성에 대한 몇 가지 권고 사항이 있습니다. 첫 번째는 일반적인 SSH 키입니다: ssh-keygen -a 64 -t ed25519 -f ~/.ssh/id_ed25519 -C "ED25519 Key" FIPS 호환 SSH 키의 경우 다음을 사용하세요: ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -C "RSA FIPS-compliant Key" SSH 서버 구성 # 운영 체제 수준에서 SSH 액세스를 허용하는 경우(일반적으로 OpenSSH를 통해) 다음은 sshd_config 파일에 대한 구성 옵션의 예입니다(정확한 위치는 운영 체제에 따라 다를 수 있지만 일반적으로 /etc/ssh/sshd_config 입니다): # # Example sshd config file. This supports public key authentication and # turns off several potential security risk areas # PubkeyAuthentication yes PasswordAuthentication yes UsePAM yes UseDNS no AllowTcpForwarding no X11Forwarding no PrintMotd no PermitTunnel no PermitRootLogin no # Allow client to pass locale environment variables AcceptEnv LANG LC_* # Change default od 120 seconds to 60 LoginGraceTime 60 # override default of no subsystems Subsystem sftp /usr/lib/openssh/sftp-server # Protocol adjustments, these would be needed/recommended in a FIPS or # FedRAMP deployment, and use only strong and proven algorithm choices Protocol 2 Ciphers aes128-ctr,aes192-ctr,aes256-ctr HostKeyAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521 KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521 Macs hmac-sha2-256,hmac-sha2-512 방화벽 규칙 # 방화벽 규칙의 경우 기본 사용을