Git-Mirrors/security-misc
1
0
Fork 0
mirror of https://github.com/Kicksecure/security-misc.git synced 2024-12-26 09:19:25 -05:00
Code Issues Packages Projects Releases Wiki Activity

comments

Browse Source
This commit is contained in:
Patrick Schleizer 2019-12-20 13:02:33 -05:00
parent d7bd477e73
commit 77b3dd5d6b
No known key found for this signature in database
GPG Key ID: CB8D50BB77BB3C48
1 changed files with 23 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

28
etc/permission-hardening.d/30_default.conf
View File

@ -13,8 +13,12 @@
## To remove all SUID/SGID binaries in a directory, you can use the "nosuid" ## To remove all SUID/SGID binaries in a directory, you can use the "nosuid"
## argument. ## argument.
## SUID exact match whitelist. ######################################################################
# SUID exact match whitelist
######################################################################
## TODO: white spaces inside file name untested ## TODO: white spaces inside file name untested
/usr/bin/sudo whitelist /usr/bin/sudo whitelist
/bin/sudo whitelist /bin/sudo whitelist
/usr/bin/bwrap whitelist /usr/bin/bwrap whitelist
@ -29,7 +33,11 @@
## https://www.whonix.org/wiki/Dev/Firejail#Security ## https://www.whonix.org/wiki/Dev/Firejail#Security
/usr/bin/firejail whitelist /usr/bin/firejail whitelist
## {{ TODO: research ######################################################################
# SUID exact match whitelist - research required
######################################################################
## TODO: research required
## https://github.com/QubesOS/qubes-core-agent-linux/blob/master/qubes-rpc/qfile-unpacker.c ## https://github.com/QubesOS/qubes-core-agent-linux/blob/master/qubes-rpc/qfile-unpacker.c
/usr/lib/qubes/qfile-unpacker whitelist /usr/lib/qubes/qfile-unpacker whitelist
@ -38,13 +46,18 @@
## https://lwn.net/Articles/590315/ ## https://lwn.net/Articles/590315/
/usr/lib/xorg/Xorg.wrap whitelist /usr/lib/xorg/Xorg.wrap whitelist
## }} ######################################################################
# SUID regex match whitelist - research required
######################################################################
## SUID regex match whitelist.
## TODO: white spaces inside file name untested ## TODO: white spaces inside file name untested
/usr/lib/virtualbox/ matchwhitelist /usr/lib/virtualbox/ matchwhitelist
## Permission hardening. ######################################################################
# Permission Hardening
######################################################################
/home/ 0755 root root /home/ 0755 root root
/home/user/ 0700 user user /home/user/ 0700 user user
/root/ 0700 root root /root/ 0700 root root
@ -52,7 +65,12 @@
/etc/permission-hardening.d 0600 root root /etc/permission-hardening.d 0600 root root
/usr/local/etc/permission-hardening.d 0600 root root /usr/local/etc/permission-hardening.d 0600 root root
######################################################################
# SUID/SGID Removal
######################################################################
## Remove all SUID/SGID binaries/libraries. ## Remove all SUID/SGID binaries/libraries.
/bin/ nosuid /bin/ nosuid
/usr/bin/ nosuid /usr/bin/ nosuid
/usr/local/bin/ nosuid /usr/local/bin/ nosuid