Hard Security Fix для Sierra и El Capitan

Packet Filter and Sysctl configurations

Вот две небольшие заплатки безопасности для систем Mac OS 10.12.x и 10.11.x, которые предоставляют более жесткую настройку security для ядра и пакетного фильтра. По умолчанию конфигурации ограничивают входящее количество портов до 3000 не мешая работать Torrent и прочему софту(можете сделать еще жесче), а также отключают программное управление пакетным фильтром и способность системы незаметно для вас менять его поведение через anchors. Настройка ядра также вынуждает систему работать с повышенным уровнем безопасности и принудительно использовать настройки характерные некоторым важным стандартам security.

Вот сам код настройки packet filter с полной блокировкой всех входящих соединений:

#
# Ninja PF configuration file( original located on /etc/pf.conf.backup ).
#
# This file contains the main ruleset, which gets automatically loaded
# at startup.  PF will not be automatically enabled, however.  Instead,
# each component which utilizes PF is responsible for enabling and disabling
# PF via -E and -X as documented in pfctl(8).  That will ensure that PF
# is disabled only when the last enable reference is released.
#
# Care must be taken to ensure that the main ruleset does not get flushed,
# as the nested anchors rely on the anchor point defined here. In addition,
# to the anchors loaded by this file, some system services would dynamically 
# insert anchors into the main ruleset. These anchors will be added only when
# the system service is used and would removed on termination of the service.
#
# See pf.conf(5) for syntax.
#
 
# ICMP configure
icmp_types = "{echoreq, echorep, unreach}"
icmp6_types = "{echoreq, unreach, echorep, 133, 134, 135, 136, 137}"
netbios_types = "{137,138,139}"
 
interfaces = "{en0, en1, en2, en3, en4}"
 
# Base policy
set fingerprints "/etc/pf.os"
set block-policy drop
set state-policy if-bound
set require-order yes
set optimization aggressive
set ruleset-optimization none
set skip on lo0
 
scrub in all fragment reassemble no-df min-ttl 64  max-mss 1440
scrub out all random-id
block in log all
 
pass out quick flags S/SA modulate state
 
# Antispoofing
antispoof quick for $interfaces inet
antispoof quick for $interfaces inet6
 
# More secure settings
block in from urpf-failed to any
block in quick on $interfaces from any to 255.255.255.255
block in quick on $interfaces from any to 255.255.255.0
 
# ICMP policy
block in inet proto icmp all icmp-type $icmp_types keep state
block in inet6 proto icmp6 all icmp6-type $icmp6_types keep state
block in on $interfaces proto {tcp,udp} from any to any port $netbios_types

Для установки скриптов и настроек и проведения сервисного обслуживания достаточно просто запустить скрипт fix.sh из папки название которой содержит версию вашей системы:

./fix.sh

Скачать заплатки можно со страницы проекта GitHub: Security Fix 10.12.x & 10.11.x

А теперь пару слов о том зачем это нужно. Например без этой заплатки нормально не будут работать драйвера Paragon и вы будете испытывать проблемы с монтированием разделов таких файловых систем как EXT. Кроме того, некоторые нужные программы или любимые игры портированные с Wine иногда производят несанкционированные действия с Lo интерфейсом и фактически имеют неограниченный доступ к терминалу. Также вы защитите себя от некоторых уязвимостей и возможности эксплойтить систему.

Добавить комментарий