рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > рдмреНрд▓реЙрдЧ > рдЗрдВрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > рдлреЗрдбреЛрд░рд╛ 40 рд╕рд┐рд╕реНрдЯрдо рд╕реЗрд╡рд╛ рдЕрд▓рдЧрд╛рд╡ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреА рдпреЛрдЬрдирд╛ рдмрдирд╛ рд░рд╣рд╛ рд╣реИ

рдлреЗрдбреЛрд░рд╛ 40 рд╕рд┐рд╕реНрдЯрдо рд╕реЗрд╡рд╛ рдЕрд▓рдЧрд╛рд╡ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреА рдпреЛрдЬрдирд╛ рдмрдирд╛ рд░рд╣рд╛ рд╣реИ

рдлреЗрдбреЛрд░рд╛ 40 рд░рд┐рд▓реАрдЬрд╝ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ рд╕рдХреНрд╖рдо рд╕рд┐рд╕реНрдЯрдордбреА рд╕рд┐рд╕реНрдЯрдо рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рд▓рд┐рдП рдЖрдЗрд╕реЛрд▓реЗрд╢рди рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХрд╛ рд╕реБрдЭрд╛рд╡ рджреЗрддрд╛ рд╣реИ, рд╕рд╛рде рд╣реА рдкреЛрд╕реНрдЯрдЧреНрд░реЗрдПрд╕рдХреНрдпреВрдПрд▓, рдЕрдкрд╛рдЪреЗ httpd, Nginx рдФрд░ MariaDB рдЬреИрд╕реЗ рдорд┐рд╢рди-рдорд╣рддреНрд╡рдкреВрд░реНрдг рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рд╡рд╛рд▓реА рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рд▓рд┐рдП рднреАред рдпрд╣ рдЙрдореНрдореАрдж рдХреА рдЬрд╛рддреА рд╣реИ рдХрд┐ рдкрд░рд┐рд╡рд░реНрддрди рд╕реЗ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рд╡рд┐рддрд░рдг рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдореЗрдВ рдХрд╛рдлреА рд╡реГрджреНрдзрд┐ рд╣реЛрдЧреА рдФрд░ рд╕рд┐рд╕реНрдЯрдо рд╕реЗрд╡рд╛рдУрдВ рдореЗрдВ рдЕрдЬреНрдЮрд╛рдд рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреЛ рд░реЛрдХрдирд╛ рд╕рдВрднрд╡ рд╣реЛ рдЬрд╛рдПрдЧрд╛ред рдкреНрд░рд╕реНрддрд╛рд╡ рдкрд░ рдЕрднреА рддрдХ FESCo (рдлреЗрдбреЛрд░рд╛ рдЗрдВрдЬреАрдирд┐рдпрд░рд┐рдВрдЧ рд╕реНрдЯреАрдпрд░рд┐рдВрдЧ рдХрдореЗрдЯреА) рджреНрд╡рд╛рд░рд╛ рд╡рд┐рдЪрд╛рд░ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЬреЛ рдлреЗрдбреЛрд░рд╛ рд╡рд┐рддрд░рдг рдХреЗ рд╡рд┐рдХрд╛рд╕ рдХреЗ рддрдХрдиреАрдХреА рд╣рд┐рд╕реНрд╕реЗ рдХреЗ рд▓рд┐рдП рдЬрд┐рдореНрдореЗрджрд╛рд░ рд╣реИред рд╕рд╛рдореБрджрд╛рдпрд┐рдХ рд╕рдореАрдХреНрд╖рд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рджреМрд░рд╛рди рдХрд┐рд╕реА рдкреНрд░рд╕реНрддрд╛рд╡ рдХреЛ рдЕрд╕реНрд╡реАрдХрд╛рд░ рднреА рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд╢рдВрд╕рд┐рдд рд╕реЗрдЯрд┐рдВрдЧреНрд╕:

  • PrivateTmp=yes - рдЕрд╕реНрдерд╛рдпреА рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд╕рд╛рде рдЕрд▓рдЧ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдкреНрд░рджрд╛рди рдХрд░рдирд╛ред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯрд╕рд┐рд╕реНрдЯрдо=рд╣рд╛рдБ/рдкреВрд░реНрдг/рд╕рдЦреНрдд - рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд░реАрдб-рдУрдирд▓реА рдореЛрдб рдореЗрдВ рдорд╛рдЙрдВрдЯ рдХрд░реЗрдВ ("рдкреВрд░реНрдг" рдореЛрдб рдореЗрдВ - /etc/, рд╕реНрдЯреНрд░рд┐рдХреНрдЯ рдореЛрдб рдореЗрдВ - /dev/, /proc/ рдФрд░ /sys/ рдХреЛ рдЫреЛрдбрд╝рдХрд░ рд╕рднреА рдлрд╝рд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо)ред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯрд╣реЛрдо=рд╣рд╛рдВтАФрдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╣реЛрдо рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ рддрдХ рдкрд╣реБрдВрдЪ рд╕реЗ рдЗрдирдХрд╛рд░ рдХрд░рддрд╛ рд╣реИред
  • PrivateDevices=yes - рдХреЗрд╡рд▓ /dev/null, /dev/zero рдФрд░ /dev/random рддрдХ рдкрд╣реБрдВрдЪ рдЫреЛрдбрд╝рдирд╛
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯ рдХрд░реНрдиреЗрд▓ рдЯреНрдпреВрдиреЗрдмрд▓реНрд╕ = рд╣рд╛рдБ - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, рдЖрджрд┐ рддрдХ рдХреЗрд╡рд▓ рдкрдврд╝рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд╣реБрдВрдЪред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯ рдХрд░реНрдиреЗрд▓ рдореЙрдбреНрдпреВрд▓ = рд╣рд╛рдБ - рдХрд░реНрдиреЗрд▓ рдореЙрдбреНрдпреВрд▓ рд▓реЛрдб рдХрд░рдиреЗ рдкрд░ рд░реЛрдХ рд▓рдЧрд╛рдПрдВред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯ рдХрд░реНрдиреЗрд▓рд▓реЙрдЧреНрд╕ = рд╣рд╛рдБ - рдХрд░реНрдиреЗрд▓ рд▓реЙрдЧ рдХреЗ рд╕рд╛рде рдмрдлрд░ рддрдХ рдкрд╣реБрдВрдЪ рдХреЛ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддрд╛ рд╣реИред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯрдХрдВрдЯреНрд░реЛрд▓рдЧреНрд░реБрдкреНрд╕=рд╣рд╛рдВ - /sys/fs/cgroup/ рддрдХ рдХреЗрд╡рд▓ рдкрдврд╝рдиреЗ рдпреЛрдЧреНрдп рдкрд╣реБрдВрдЪ
  • NoNewPrivileges=yes - рд╕реЗрддреБрдЗрдб, рд╕реЗрдЯрдЧрд┐рдб рдФрд░ рдХреНрд╖рдорддрд╛рдУрдВ рдХреЗ рдЭрдВрдбреЗ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рдЙрдиреНрдирдпрди рдкрд░ рд░реЛрдХред
  • PrivateNetwork=yes - рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреИрдХ рдХреЗ рдПрдХ рдЕрд▓рдЧ рдиреЗрдорд╕реНрдкреЗрд╕ рдореЗрдВ рдкреНрд▓реЗрд╕рдореЗрдВрдЯред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯрдХреНрд▓реЙрдХ=рд╣рд╛рдБтАФрд╕рдордп рдмрджрд▓рдиреЗ рд╕реЗ рд░реЛрдХреЗрдВред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯрд╣реЛрд╕реНрдЯрдирд╛рдо = рд╣рд╛рдБ - рд╣реЛрд╕реНрдЯ рдирд╛рдо рдмрджрд▓рдиреЗ рдкрд░ рд░реЛрдХ рд▓рдЧрд╛рддрд╛ рд╣реИред
  • рдкреНрд░реЛрдЯреЗрдХреНрдЯрдкреНрд░реЛрдХ=рдЕрджреГрд╢реНрдп - рдЕрдиреНрдп рд▓реЛрдЧреЛрдВ рдХреА рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ /proc рдореЗрдВ рдЫрд┐рдкрд╛рдирд╛ред
  • рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ = - рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдмрджрд▓реЗрдВ

рдЗрд╕рдХреЗ рдЕрддрд┐рд░рд┐рдХреНрдд, рдЖрдк рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдиреЗ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

  • рдХреИрдкреЗрдмрд┐рд▓рд┐рдЯреАрдмрд╛рдЙрдВрдбрд┐рдВрдЧрд╕реЗрдЯ =
  • рдбрд┐рд╡рд╛рдЗрд╕рдкреЙрд▓рд┐рд╕реА=рдмрдВрдж
  • рдХреАрд░рд┐рдВрдЧрдореЛрдб=рдирд┐рдЬреА
  • рд▓реЙрдХрдкрд░реНрд╕рдиреИрд▓рд┐рдЯреА = рд╣рд╛рдБ
  • MemoryDenyWriteExecute=рд╣рд╛рдБ
  • PrivateUsers=рд╣рд╛рдБ
  • рдЖрдИрдкреАрд╕реА рд╣рдЯрд╛рдПрдБ=рд╣рд╛рдБ
  • RestrictAddressFamilies=
  • RestrictNamespaces = рд╣рд╛рдБ
  • RestrictRealtime = рд╣рд╛рдБ
  • RestrictSUIDSGID=рд╣рд╛рдБ
  • SystemCallFilter=
  • SystemCallрдЖрд░реНрдХрд┐рдЯреЗрдХреНрдЪрд░=рдореВрд▓

рд╕реНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╝реЗрдВ