security-misc/etc/permission-hardener.d/30_default.conf

123 lines
4.1 KiB
Plaintext
Raw Normal View History

## Copyright (C) 2012 - 2024 ENCRYPTED SUPPORT LP <adrelanos@whonix.org>
2019-12-19 12:01:33 -05:00
## See the file COPYING for copying conditions.
## Please use "/etc/permission-hardener.d/20_user.conf" or
## "/usr/local/etc/permission-hardener.d/20_user.conf" for your custom
2019-12-20 05:54:16 -05:00
## configuration. When security-misc is updated, this file may be overwritten.
2019-12-08 11:50:11 -05:00
## File permission hardening.
##
## Syntax:
## [filename] [mode] [owner] [group] [capability]
## [filename] [exactwhitelist|matchwhitelist|disablewhitelist|nosuid]
2019-12-08 11:50:11 -05:00
##
2019-12-23 02:38:53 -05:00
## TODO: white spaces inside file name untested and probably will not work.
######################################################################
# Global Settings
######################################################################
#whitelists_disable_all=true
######################################################################
# SUID disables below (or in lexically higher) files: disablewhitelist
######################################################################
2019-12-23 02:38:53 -05:00
## For example, if you are not using SELinux the following might make sense to
## enable. TODO: research
2019-12-23 02:35:13 -05:00
#/utempter/utempter disablewhitelist
## If you are not going to use AppImages such as electrum Bitcoin wallet.
#/fusermount disablewhitelist
2019-12-20 13:02:33 -05:00
######################################################################
# SUID whitelist matches full path: exactwhitelist
2019-12-20 13:02:33 -05:00
######################################################################
2019-12-23 03:28:42 -05:00
## In case you need to use 'su'. See also:
2022-04-16 14:18:35 -04:00
## https://www.kicksecure.com/wiki/root#su
#/usr/bin/su exactwhitelist
2019-12-23 03:28:42 -05:00
2021-08-01 16:37:02 -04:00
## https://manpages.debian.org/xserver-xorg-legacy/Xorg.wrap.1.en.html
## https://lwn.net/Articles/590315/
2024-01-16 08:56:26 -05:00
## https://forums.whonix.org/t/suid-disabler-and-permission-hardener/7706/35
#/usr/lib/xorg/Xorg.wrap whitelist
2019-12-20 13:02:33 -05:00
######################################################################
# SUID whitelist matches in any section of the path: matchwhitelist
2019-12-20 13:02:33 -05:00
######################################################################
## Examples below are already configured:
#ssh-agent matchwhitelist
#/usr/lib/openssh matchwhitelist
2019-12-22 18:57:23 -05:00
2019-12-20 13:02:33 -05:00
######################################################################
# Permission Hardening
######################################################################
2019-12-08 11:50:11 -05:00
/home/ 0755 root root
/root/ 0700 root root
/boot/ 0700 root root
/etc/permission-hardener.d 0600 root root
/usr/local/etc/permission-hardener.d 0600 root root
/usr/lib/modules/ 0700 root root
2023-10-26 13:45:28 -04:00
/usr/src 0700 root root
/etc/cups/cupsd.conf 0400 root root
/etc/syslog.conf 0600 root root
2023-10-27 06:53:45 -04:00
/etc/ssh/sshd_config 0600 root root
2023-10-26 13:45:28 -04:00
/etc/crontab 0600 root root
/etc/cron.d 0700 root root
/etc/cron.daily 0700 root root
/etc/sudoers.d 0700 root root
/etc/cron.hourly 0700 root root
/etc/cron.weekly 0700 root root
/etc/cron.monthly 0700 root root
/etc/group 0644 root root
/etc/group- 0644 root root
/etc/hosts.allow 0644 root root
/etc/hosts.deny 0644 root root
/etc/issue 0644 root root
/etc/issue.net 0644 root root
/etc/motd 0644 root root
/etc/passwd 0644 root root
/etc/passwd- 0644 root root
2019-12-19 12:01:33 -05:00
2019-12-20 13:02:33 -05:00
######################################################################
# SUID/SGID Removal: nosuid
2019-12-20 13:02:33 -05:00
######################################################################
## To remove all SUID/SGID binaries in a directory, you can use the "nosuid"
## argument.
##
2019-12-19 12:01:33 -05:00
## Remove all SUID/SGID binaries/libraries.
2019-12-20 13:02:33 -05:00
/opt/ nosuid
2019-12-19 12:01:33 -05:00
/usr/bin/ nosuid
/usr/lib32/ nosuid
/usr/lib64/ nosuid
/usr/lib/ nosuid
/usr/local/bin/ nosuid
2020-12-06 04:15:52 -05:00
/usr/local/lib32/ nosuid
/usr/local/lib64/ nosuid
/usr/local/lib/ nosuid
/usr/local/opt/ nosuid
/usr/local/sbin/ nosuid
/usr/local/usr/bin/ nosuid
2020-12-06 04:15:52 -05:00
/usr/local/usr/lib32/ nosuid
/usr/local/usr/lib64/ nosuid
/usr/local/usr/lib/ nosuid
/usr/local/usr/sbin/ nosuid
/usr/sbin/ nosuid
2019-12-23 09:39:50 -05:00
######################################################################
# Capability Removal
######################################################################
## Ping doesn't work with Tor anyway so its capabilities are removed to
## reduce attack surface.
## anon-apps-config does this.
#/usr/bin/ping 0744 root root none
2019-12-23 09:39:50 -05:00
## TODO: research
#/usr/lib/x86_64-linux-gnu/gstreamer1.0/grstreamer-1.0/gst-ptp-helper 0744 root root none