ํ๋ก์ ํธ ์ด์
๋ธ๋ฆฌ๊ฐ ์ค๋น๋์์ต๋๋ค.
์ฃผ์
- 4๊ฐ์ ํํฐ์ "/", "/boot", "/var" ๋ฐ "/home"์ ์ค์น. "/" ๋ฐ "/boot" ํํฐ์ ์ ์ฝ๊ธฐ ์ ์ฉ ๋ชจ๋๋ก ๋ง์ดํธ๋๊ณ "/home" ๋ฐ "/var"๋ noexec ๋ชจ๋๋ก ๋ง์ดํธ๋ฉ๋๋ค.
- ์ปค๋ ํจ์น CONFIG_SETCAP. setcap ๋ชจ๋์ ์ง์ ๋ ์์คํ
๊ธฐ๋ฅ์ ๋นํ์ฑํํ๊ฑฐ๋ ๋ชจ๋ ์ฌ์ฉ์์ ๋ํด ํ์ฑํํ ์ ์์ต๋๋ค. ๋ชจ๋์ ์์คํ
์ด sysctl ์ธํฐํ์ด์ค ๋๋ /proc/sys/setcap ํ์ผ์ ํตํด ์คํ๋๋ ๋์ ์ํผ์ ์ ์ ์ํด ๊ตฌ์ฑ๋๋ฉฐ ๋ค์ ์ฌ๋ถํ
๊น์ง ๋ณ๊ฒฝ ์ฌํญ์ด ์ ์ฉ๋์ง ์๋๋ก ๊ณ ์ ๋ ์ ์์ต๋๋ค.
์ผ๋ฐ ๋ชจ๋์์๋ CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ๋ฐ 21(CAP_SYS_ADMIN)์ด ์์คํ ์์ ๋นํ์ฑํ๋ฉ๋๋ค. tinyware-beforeadmin ๋ช ๋ น(๋ง์ดํ ๋ฐ ๊ธฐ๋ฅ)์ ์ฌ์ฉํ๋ฉด ์์คํ ์ด ์ ์ ์ํ๋ก ๋์๊ฐ๋๋ค. ๋ชจ๋์ ๊ธฐ๋ฐ์ผ๋ก securelevels ํ๋ค์ค๋ฅผ ๊ฐ๋ฐํ ์ ์์ต๋๋ค. - ํต์ฌ ํจ์น PROC_RESTRICT_ACCESS. ์ด ์ต์ ์ /proc ํ์ผ ์์คํ ์ /proc/pid ๋๋ ํ ๋ฆฌ์ ๋ํ ์ก์ธ์ค๋ฅผ 555์์ 750์ผ๋ก ์ ํํ๊ณ ๋ชจ๋ ๋๋ ํ ๋ฆฌ ๊ทธ๋ฃน์ ๋ฃจํธ์ ํ ๋น๋ฉ๋๋ค. ๋ฐ๋ผ์ ์ฌ์ฉ์๋ "ps" ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ์์ ์ ํ๋ก์ธ์ค๋ง ๋ณผ ์ ์์ต๋๋ค. ๋ฃจํธ๋ ์ฌ์ ํ ์์คํ ์ ๋ชจ๋ ํ๋ก์ธ์ค๋ฅผ ๋ณผ ์ ์์ต๋๋ค.
- CONFIG_FS_ADVANCED_CHOWN ์ปค๋ ํจ์น๋ฅผ ์ฌ์ฉํ๋ฉด ์ผ๋ฐ ์ฌ์ฉ์๊ฐ ์์ ์ ๋๋ ํฐ๋ฆฌ ๋ด ํ์ผ ๋ฐ ํ์ ๋๋ ํฐ๋ฆฌ์ ์์ ๊ถ์ ๋ณ๊ฒฝํ ์ ์์ต๋๋ค.
- ๊ธฐ๋ณธ ์ค์ ์ด ์ผ๋ถ ๋ณ๊ฒฝ๋์์ต๋๋ค(์: UMASK๊ฐ 077๋ก ์ค์ ๋จ).
์ถ์ฒ : opennet.ru