แแแแแแแแแฃแแแ แกแแแ แแแฅแขแ แจแแแ แแแแแ
แแแแแแ แ
- แแแกแขแแแแชแแ 4 แแแแแงแแคแแ "/", "/boot", "/var" แแ "/home". "/" แแ "/boot" แขแแฎแ แแแ แแแแแแขแแแแแฃแแแ แแฎแแแแ แฌแแแแแฎแแแก แ แแแแแจแ, แฎแแแ "/home" แแ "/var" แแแแแแขแแแแแฃแแแ noexec แ แแแแแจแ;
- แแแ แแแแก แแแขแฉแ CONFIG_SETCAP. setcap แแแแฃแแก แจแแฃแซแแแ แแแแแ แแแก แแแแแแแแฃแแ แกแแกแขแแแแก แจแแกแแซแแแแแแแแแ แแ แฉแแ แแแก แแกแแแ แงแแแแ แแแแฎแแแ แแแแแกแแแแก. แแแแฃแแ แแแแคแแแฃแ แแ แแแฃแแแ แกแฃแแแ แแแแฎแแแ แแแแแก แแแแ , แ แแแแกแแช แกแแกแขแแแ แแฃแจแแแแก sysctl แแแขแแ แคแแแกแแ แแ /proc/sys/setcap แคแแแแแแแ แแ แจแแแซแแแแ แแแงแแแฃแแ แแงแแก แชแแแแแแแแแแก แจแแขแแแแแแ แแแแแแแแ แแแแแขแแแ แแแแแแ.
แแแ แแแแฃแ แ แแแแแจแ, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) แแ 21(CAP_SYS_ADMIN) แแแแแ แแฃแแแ แกแแกแขแแแแจแ. แกแแกแขแแแ แฃแแ แฃแแแแแ แแแ แแแแฃแ แแแแแแแ แแแแแก tinyware-beforeadmin แแ แซแแแแแแก แแแแแงแแแแแแ (แแแแขแแแ แแ แจแแกแแซแแแแแแแแแ). แแแแฃแแแก แกแแคแฃแซแแแแแ แจแแแแซแแแแ แแแแแแแแแ แแ แฃแกแแคแ แแฎแ แแแแแก แแฆแแแแแฃแแแแ. - แซแแ แแแแแ แแแฉแ PROC_RESTRICT_ACCESS. แแก แแแ แแแแขแ แ แแฆแฃแแแแก แฌแแแแแแก /proc/pid แแแ แแฅแขแแ แแแแแ /proc แคแแแแฃแ แกแแกแขแแแแจแ 555-แแแ 750-แแแ, แฎแแแ แงแแแแ แแแ แแฅแขแแ แแแก แฏแแฃแคแก แแแแญแแแ root. แแแแขแแ, แแแแฎแแแ แแแแแแ แฎแแแแแแ แแฎแแแแ แแแ แแ แแชแแกแแแก "ps" แแ แซแแแแแแ. Root แแแแแช แฎแแแแแก แงแแแแ แแ แแชแแกแก แกแแกแขแแแแจแ.
- CONFIG_FS_ADVANCED_CHOWN แแแ แแแแก แแแขแฉแ, แ แแแแแแช แกแแจแฃแแแแแแก แแซแแแแก แ แแแฃแแแ แฃแ แแแแฎแแแ แแแแแแก แจแแชแแแแแ แคแแแแแแแก แแ แฅแแแแแ แแฅแขแแ แแแแแก แแคแแแแแแแแ แแแแแแแ แแแ แแฅแขแแ แแแจแ.
- แแแแแแ แแ แชแแแแแแแ แแแแฃแแแกแฎแแแ แแแ แแแแขแ แแแจแ (แแแ. UMASK แแแงแแแแแฃแแแ 077-แแ).
แฌแงแแ แ: opennet.ru