【linux系统加固之】kernel加固

1.尽量采用最新版本内核：

新发布的内核一般会修复老版本中已经暴露出来的安全漏洞问题，可以从官网上下载最新版本内核：www.kernel.org。

2.最小化裁剪和配置内核：

去掉多余的驱动，模块以及一切多余的功能，协议栈；

去掉debug，统计，ptrace和日志功能；

去掉所有的实验性的功能；

方法：修改kconfig文件，有些依赖在代码层面并没有什么直接的依赖关系（不知道kconfig文件为什么要让它们依赖）

3.减少外部影响：

内核要尽量做到独立，不受外部运行环境的影响，比如启动参数，运行后插入外部代码和内核参数：

方法：如启动参数采用内置；

   尽量禁止外部模块插入，这样可能污染kernel代码；

           限制或禁止访问或修改内核参数，限制proc文件系统的访问；

4.隐藏系统的footprint：

二进制文件的角度：可通过strings命令进行检查，尤其要注意一些关键性的字符串，如关键的出错对应的字符串，版本号；

可通过strip命名去掉一些无用的section；

运行进程的角度：黑客构造特定的输入，然后根据系统的动作或返回的输出来嗅探系统的一些信息，如通过IP包的TTL值可得到是windows还是linux系统；

方法：主要对于网络，TTL可以修改为128和windows保持一样，ICMP协议的大部分类型代码直接丢弃；ip包直接drop而不是reject；

5.禁止系统的一些功能

禁止源路由；

禁止数据包转发

方法：通过/proc文件系统或sysctl，修改内核参数；

6.打上已知安全漏洞的patch：

方法：https://nvd.nist.gov 查找当前使用内核版本之后暴露的一些high level的漏洞，并打上相应patch；

7.打上grsecurity patch：

方法：www.grsecurity.net/  打上grsecurity的patch；