ΠΠΎΠ΄Π³ΠΎΡΠΎΠ²Π»Π΅Π½Ρ ΡΠ±ΠΎΡΠΊΠΈ ΠΏΡΠΎΠ΅ΠΊΡΠ°
ΠΡΠ½ΠΎΠ²Π½ΡΠ΅
- Π£ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° Π½Π° 4 ΡΠ°Π·Π΄Π΅Π»Π° «/», «/boot», «/var» ΠΈ «/home». Π Π°Π·Π΄Π΅Π»Ρ «/» ΠΈ «/boot» ΠΌΠΎΠ½ΡΠΈΡΡΡΡΡΡ Π² ΡΠ΅ΠΆΠΈΠΌΠ΅ ΡΠΎΠ»ΡΠΊΠΎ Π΄Π»Ρ ΡΡΠ΅Π½ΠΈΡ, Π° «/home» ΠΈ «/var» Π² ΡΠ΅ΠΆΠΈΠΌΠ΅ noexec (Π·Π°ΠΏΡΠ΅Ρ ΠΈΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ);
- ΠΠ°ΡΡ ΠΊ ΡΠ΄ΡΡ CONFIG_SETCAP. ΠΠΎΠ΄ΡΠ»Ρ setcap ΠΌΠΎΠΆΠ΅Ρ ΠΎΡΠΊΠ»ΡΡΠ°ΡΡ Π·Π°Π΄Π°Π½Π½ΡΠ΅ ΡΠΈΡΡΠ΅ΠΌΠ½ΡΠ΅ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈ (capabilities), ΠΈΠ»ΠΈ Π²ΠΊΠ»ΡΡΠ°ΡΡ ΠΈΡ
Π΄Π»Ρ Π²ΡΠ΅Ρ
ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ. ΠΠΎΠ΄ΡΠ»Ρ Π½Π°ΡΡΡΠ°ΠΈΠ²Π°Π΅ΡΡΡ ΡΡΠΏΠ΅ΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΌ Π²ΠΎ Π²ΡΠ΅ΠΌΡ ΡΠ°Π±ΠΎΡΡ ΡΠΈΡΡΠ΅ΠΌΡ ΡΠ΅ΡΠ΅Π· ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ sysctl ΠΈΠ»ΠΈ ΡΠ°ΠΉΠ»Ρ /proc/sys/setcap ΠΈ ΠΌΠΎΠΆΠ΅Ρ Π·Π°ΠΌΠΎΡΠ°ΠΆΠΈΠ²Π°ΡΡΡΡ ΠΎΡ Π²Π½Π΅ΡΠ΅Π½ΠΈΡ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π΄ΠΎ ΡΠ»Π΅Π΄ΡΡΡΠ΅ΠΉ ΠΏΠ΅ΡΠ΅Π·Π°Π³ΡΡΠ·ΠΊΠΈ.
Π ΡΡΠ°ΡΠ½ΠΎΠΌ ΡΠ΅ΠΆΠΈΠΌΠ΅ Π² ΡΠΈΡΡΠ΅ΠΌΠ΅ ΠΎΡΠΊΠ»ΡΡΠ΅Π½Ρ CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ΠΈ 21(CAP_SYS_ADMIN). Π ΠΎΠ±ΡΡΠ½ΠΎΠ΅ ΡΠΎΡΡΠΎΡΠ½ΠΈΠ΅ ΡΠΈΡΡΠ΅ΠΌΠ° ΠΏΠ΅ΡΠ΅Π²ΠΎΠ΄ΠΈΡΡΡ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ tinyware-beforeadmin (ΠΌΠΎΠ½ΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈ capabilities). ΠΠ° ΠΎΡΠ½ΠΎΠ²Π΅ ΠΌΠΎΠ΄ΡΠ»Ρ ΠΌΠΎΠΆΠ½ΠΎ ΡΠ°Π·Π²ΠΈΡΡ ΠΎΠ±Π²ΡΠ·ΠΊΡ securelevels. - ΠΠ°ΡΡ ΠΊ ΡΠ΄ΡΡ PROC_RESTRICT_ACCESS. ΠΠ°Π½Π½Π°Ρ ΠΎΠΏΡΠΈΡ ΠΎΠ³ΡΠ°Π½ΠΈΡΠΈΠ²Π°Π΅Ρ Π΄ΠΎΡΡΡΠΏ ΠΊ ΠΊΠ°ΡΠ°Π»ΠΎΠ³Π°ΠΌ /proc/pid Π² ΡΠ°ΠΉΠ»ΠΎΠ²ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΠ΅ /proc c 555 Π½Π° 750, ΠΏΡΠΈ ΡΡΠΎΠΌ Π³ΡΡΠΏΠΏΠ° Ρ Π²ΡΠ΅Ρ ΠΊΠ°ΡΠ°Π»ΠΎΠ³ΠΎΠ² Π½Π°Π·Π½Π°ΡΠ°Π΅ΡΡΡ root. ΠΠΎΡΡΠΎΠΌΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΠΈ Π²ΠΈΠ΄ΡΡ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ «ps» ΡΠΎΠ»ΡΠΊΠΎ ΡΠ²ΠΎΠΈ ΠΏΡΠΎΡΠ΅ΡΡΡ. Root ΠΏΠΎ ΠΏΡΠ΅ΠΆΠ½Π΅ΠΌΡ Π²ΠΈΠ΄ΠΈΡ Π²ΡΠ΅ ΠΏΡΠΎΡΠ΅ΡΡΡ Π² ΡΠΈΡΡΠ΅ΠΌΠ΅.
- ΠΠ°ΡΡ ΠΊ ΡΠ΄ΡΡ CONFIG_FS_ADVANCED_CHOWN, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡΡΠΈΠΉ ΡΡΠ΄ΠΎΠ²ΡΠΌ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΠΌ ΠΈΠ·ΠΌΠ΅Π½ΡΡΡ Π²Π»Π°Π΄Π΅Π½ΠΈΠ΅ ΡΠ°ΠΉΠ»Π°ΠΌΠΈ ΠΈ ΠΏΠΎΠ΄ΠΊΠ°ΡΠ°Π»ΠΎΠ³Π°ΠΌΠΈ Π²Π½ΡΡΡΠΈ ΡΠ²ΠΎΠΈΡ ΠΊΠ°ΡΠ°Π»ΠΎΠ³ΠΎΠ².
- ΠΠ΅ΠΊΠΎΡΠΎΡΡΠ΅ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΡ Π½Π°ΡΡΡΠΎΠ΅ΠΊ ΠΏΠΎ ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, UMASK ΡΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½ Π² 077).
ΠΡΡΠΎΡΠ½ΠΈΠΊ: opennet.ru