ะะพะดะณะพัะพะฒะปะตะฝั ัะฑะพัะบะธ ะฟัะพะตะบัะฐ
เบเบปเปเบโเบเป
- ะฃััะฐะฝะพะฒะบะฐ ะฝะฐ 4 ัะฐะทะดะตะปะฐ ยซ/ยป, ยซ/bootยป, ยซ/varยป ะธ ยซ/homeยป. ะ ะฐะทะดะตะปั ยซ/ยป ะธ ยซ/bootยป ะผะพะฝัะธัััััั ะฒ ัะตะถะธะผะต ัะพะปัะบะพ ะดะปั ััะตะฝะธั, ะฐ ยซ/homeยป ะธ ยซ/varยป ะฒ ัะตะถะธะผะต noexec (ะทะฐะฟัะตั ะธัะฟะพะปะฝะตะฝะธั);
- ะะฐัั ะบ ัะดัั CONFIG_SETCAP. ะะพะดัะปั setcap ะผะพะถะตั ะพัะบะปััะฐัั ะทะฐะดะฐะฝะฝัะต ัะธััะตะผะฝัะต ะฒะพะทะผะพะถะฝะพััะธ (capabilities), ะธะปะธ ะฒะบะปััะฐัั ะธั
ะดะปั ะฒัะตั
ะฟะพะปัะทะพะฒะฐัะตะปะตะน. ะะพะดัะปั ะฝะฐัััะฐะธะฒะฐะตััั ััะฟะตัะฟะพะปัะทะพะฒะฐัะตะปะตะผ ะฒะพ ะฒัะตะผั ัะฐะฑะพัั ัะธััะตะผั ัะตัะตะท ะธะฝัะตััะตะนั sysctl ะธะปะธ ัะฐะนะปั /proc/sys/setcap ะธ ะผะพะถะตั ะทะฐะผะพัะฐะถะธะฒะฐัััั ะพั ะฒะฝะตัะตะฝะธั ะธะทะผะตะฝะตะฝะธะน ะดะพ ัะปะตะดัััะตะน ะฟะตัะตะทะฐะณััะทะบะธ.
ะ ััะฐัะฝะพะผ ัะตะถะธะผะต ะฒ ัะธััะตะผะต ะพัะบะปััะตะฝั CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ะธ 21(CAP_SYS_ADMIN). ะ ะพะฑััะฝะพะต ัะพััะพัะฝะธะต ัะธััะตะผะฐ ะฟะตัะตะฒะพะดะธััั ะบะพะผะฐะฝะดะพะน tinyware-beforeadmin (ะผะพะฝัะธัะพะฒะฐะฝะธะต ะธ capabilities). ะะฐ ะพัะฝะพะฒะต ะผะพะดัะปั ะผะพะถะฝะพ ัะฐะทะฒะธัั ะพะฑะฒัะทะบั securelevels. - ะะฐัั ะบ ัะดัั PROC_RESTRICT_ACCESS. ะะฐะฝะฝะฐั ะพะฟัะธั ะพะณัะฐะฝะธัะธะฒะฐะตั ะดะพัััะฟ ะบ ะบะฐัะฐะปะพะณะฐะผ /proc/pid ะฒ ัะฐะนะปะพะฒะพะน ัะธััะตะผะต /proc c 555 ะฝะฐ 750, ะฟัะธ ััะพะผ ะณััะฟะฟะฐ ั ะฒัะตั ะบะฐัะฐะปะพะณะพะฒ ะฝะฐะทะฝะฐัะฐะตััั root. ะะพััะพะผั ะฟะพะปัะทะพะฒะฐัะตะปะธ ะฒะธะดัั ะบะพะผะฐะฝะดะพะน ยซpsยป ัะพะปัะบะพ ัะฒะพะธ ะฟัะพัะตััั. Root ะฟะพ ะฟัะตะถะฝะตะผั ะฒะธะดะธั ะฒัะต ะฟัะพัะตััั ะฒ ัะธััะตะผะต.
- ะะฐัั ะบ ัะดัั CONFIG_FS_ADVANCED_CHOWN, ะฟะพะทะฒะพะปัััะธะน ััะดะพะฒัะผ ะฟะพะปัะทะพะฒะฐัะตะปัะผ ะธะทะผะตะฝััั ะฒะปะฐะดะตะฝะธะต ัะฐะนะปะฐะผะธ ะธ ะฟะพะดะบะฐัะฐะปะพะณะฐะผะธ ะฒะฝัััะธ ัะฒะพะธั ะบะฐัะฐะปะพะณะพะฒ.
- ะะตะบะพัะพััะต ะธะทะผะตะฝะตะฝะธั ะฝะฐัััะพะตะบ ะฟะพ ัะผะพะปัะฐะฝะธั (ะฝะฐะฟัะธะผะตั, UMASK ัััะฐะฝะพะฒะปะตะฝ ะฒ 077).
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru