🎉
wslで今すぐ直し確認すべきセキュリティ項目
初めに
必要と思うなら有効にしててもいいです。
しかし、先日xzの件があったり特定のディストリを狙った中の人による攻撃は増えているので、
不要かつ、仮想環境からホストの環境へのプログラムの起動、情報収集にかかわる部分は無効にしたほうがいいかと。
デフォルトの設定だと有効で変更したほうがいいと思うものを並べます。
昔からwsl入れてた人はひょっとしたら無効のままになっているかも。
これらの設定の変更によって、
wslで実行したnodejsのアプリケーションサーバーで接続待ちしているポートにたいしてwindowsホストから接続できなくなったり、
wslを使ったdevcontainerやその他docker コンテナの動作に不具合が起きたりしないので
安心して設定してください。
wslからwindowsのPATHを参照できる
実はできます。
何がインストールされているかなどの情報収集ができます。
wslからwindowsのプログラムを起動できる
これもできます。
wslからwindows側のvscodeを起動できるので便利ですが、メリットはそれぐらいだと思います。
どこいじるか?
wsl側の/etc/wsl.confに下記の設定を追加してください。
下のwsl.confの設定例のものをそのまま引用しました。
/etc/wsl.conf
# Set whether WSL supports interop processes like launching Windows apps and adding path variables. Setting these to false will block the launch of Windows processes and block adding $PATH environment variables.
[interop]
enabled = false
appendWindowsPath = false
レファレンス
まとめ
windowsもlinuxもmacもそんなセキュリティ変わらないはやっぱ幻想やね。
windowsはデフォルトの設定が危険過ぎる。
セキュリティセキュリティというお堅いところならこれらの設定は無効一択かと。
ワイはお堅くないけど、全部に無効にしました。
当時あんま凄いと思わんかったが、そこそこカーネルにバグあるらしいけど、
デフォルトインストールで脆弱性0のOpenBSDは実績として凄いのかもね。
Discussion