问题标签 [hardening]

有什么方法可以阻止用户在自定义 android 操作系统中安装来自未知来源的应用程序？

我正在尝试使用 AOSP 源创建 Android 操作系统的自定义变体，在其中我希望允许用户仅安装来自我在构建期间指定的受信任源的应用程序。

阻止启用开发人员选项和 USB 调试。该解决方案应阻止用户从所有可能的来源（如侧载）或通过连接系统安装应用程序。

我们尝试为我们的集群强化 gke 优化镜像 (gke-1.15.11)。我们将 ssh 放入节点实例并在/home/kubernetes/kubelet-config.yaml文件中进行 cis porposed 更改并运行 kubebench 以检查所有条件是否已通过大约 8 个条件失败，这些条件是我们在文件中更改的确切条件。但是，然后我们更改了确切的参数，/etc/default/kubernetes并kubebench再次运行了通过的条件。但是，当我们重新启动实例时，我们在/ect/default/kubernetes文件中所做的所有更改都消失了。有人可以让我知道我们哪里出错了，或者是否有任何其他途径我们必须制作 cis 基准建议的条目

我正在阅读 CIS CentOS Linux 7 Benchmark v.2.2.0，section-1.5.1（确保核心转储受到限制）。它的补救部分说：

将以下行添加到 /etc/security/limits.conf 或/etc/security/limits.d/ * 文件：

• 硬核0

我有一个修复脚本来实现相同的效果（从 gi​​thub 获得）。它的内容是：

我的问题是-> 为什么脚本会在 CIS.conf 中添加这些行。我知道它不是系统 conf 文件。那么操作系统是如何知道读取这个 conf 文件的呢？操作系统是否从 /etc/sysctl.d/ 路径下存在的所有 conf 文件中读取？

我们使用带有spring/hibernate的tomcat 9。显然它是一个生产代码并且tomcat管理器不存在。对于 tomcat 加固，我们试图通过代码动态关闭“autoDeploy”。我们可以在 server.xml 中这样做：

可以这样做吗？有没有办法以编程方式做到这一点？

编辑：代码尝试：

2 年前，我已经启动了带有 4 个 EC2 实例和 ecs 优化 AMI 的 AWS ECS 集群，系统运行良好，但由于系统强化合规性，我需要使用最新的 ECS 优化 AMI 更新我的 ECS 集群 EC2 实例。

我可以采用最新的 AMI 并更新实例，但我怎样才能连续自动化这个过程，假设每 3 个月一次，我的自动扩展组应该使用亚马逊最新的 ECS 优化 AMI 版本更新实例。

我的 EC2 实例在自动缩放组中，我可以在这里实现哪些自动化想法。

任何实现此目的的 AWS 文档或 github 存储库链接也将非常有帮助。

提前致谢

我们如何为从该映像创建的 VM 创建禁用 RDP 的 Windows VM 映像？我想发布一个 RDP 强化图像。

我一直在研究使用 Powershell 审核我的组策略。但是，作为一个不使用 Active Directory 的小组，我发现的答案不起作用，因为他们使用需要配置域的 RSAT。这些问题使我无法自动执行这些任务，因为我们无法设置和配置域。有没有办法用 Powershell 编辑我们的本地安全策略？

我已经知道这已经在这里问过了，但是在我看来，它没有得到正确回答，因为它显示了如何在注册表中编辑软件策略，据我所知，这与组策略不同。据我所知，在我搜索注册表以在其中找到组策略时，这已或多或少得到证实。

无论如何，我感谢大家的帮助并希望解决这个问题，特别是与系统安全相关的类似问题在很大程度上已经过时并且往往不再起作用。希望如果这个问题得到解答，它将帮助社区中遇到类似问题的其他人。

运行脚本时，出现以下错误：

任务 [roles/ansible-ssh-hardening：如果未提供，则为 ssh_host_key_files 设置默认值] *** azure-arm：[0;31mfatal：[127.0.0.1]：失败！=> {"reason": "我们无法读取 JSON 或 YAML，这些是我们从每个中得到的错误：\nJSON: Expecting value: line 1 column 1 (char 0)\n\n加载 YAML 时出现语法错误.\n 没有找到预期的\n\n错误似乎在 '/tmp/packer-provisioner-ansible-local/roles/ansible-ssh-hardening/tasks/crypto_hostkeys.yml'：第 14 行，第 1 列，但是可能\n位于文件中的其他位置，具体取决于确切的语法问题。\n\n违规行似乎是：\n\n\n- name: change host private key Ownership, group and permissions\n^ here\n"} [0

实际代码：

• 名称：替换默认的 2048 位 RSA 密钥对 community.crypto.openssh_keypair：状态：当前类型：rsa 大小：“{{ ssh_host_rsa_key_size }}” 路径：“{{ ssh_host_keys_dir }}/ssh_host_rsa_key” 强制：真实 重新生成：总是有人帮助我这个来解决这个

我正在运行 arch linux hardened (5.11.13-hardened1-1-hardened) 并通过 fstab 设置 hidepid=2：

并在 systemd-logind.service 的 and 覆盖文件中作为 hidepid.conf：

根据arch wiki 安全性，直到不久前更新后一切都运行良好，我认为这是因为 systemd-248 更新，但我显然不确定。

在阅读 systemd 更改时，遇到了关于“ProtectProc=invisible”的本节，该部分现在默认设置在 systemd-logind.service 中，应该废弃 hidepid=2 的 fstab 设置，但在“ProtectProc=”的描述中这里freedesktop.org systemdprotectproc=

如果内核不支持 per-mount point hidepid= mount options 此设置仍然无效，并且单元的进程将能够访问和查看其他进程，就像未使用该选项一样。此选项仅适用于系统服务，不支持在服务管理器的每用户实例中运行的服务。

那么这是什么意思呢？这是我可以通过硬化内核中的内核参数修复的东西吗？

此致

我正在对我的邮件服务器（postfix + dovecot）上的一些配置进行故障排除，在查看 postfix 的 /var/log/syslog 时，我发现在凌晨 3 点左右，postfix 收到了来自未知 IP 的连接并发出了非 SMTP 命令，“获取 /aaa9 HTTP/1.1"。

我最好的猜测是尝试 Web 服务器的所有端口并发出无效命令以使服务器返回错误代码（和服务器签名）。

有任何想法吗？我的邮件服务器是否会因为这样的探测请求而面临风险？