เดชเตเดฐเต‹ เดนเต‹เดธเตเดฑเตเดฑเตผ > เดฌเตเดฒเต‹เด—เต > เด‡เดจเตเดฑเตผเดจเต†เดฑเตเดฑเต เดตเดพเตผเดคเตเดคเด•เตพ > เดธเดฟเดธเตเดฑเตเดฑเด‚ เดธเตผเดตเต€เดธเต เดเดธเตŠเดฒเต‡เดทเตป เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดฎเดพเด•เตเด•เดพเตป เดซเต†เดกเต‹เดฑ 40 เดชเดฆเตเดงเดคเดฟเดฏเดฟเดŸเตเดจเตเดจเต

เดธเดฟเดธเตเดฑเตเดฑเด‚ เดธเตผเดตเต€เดธเต เดเดธเตŠเดฒเต‡เดทเตป เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดฎเดพเด•เตเด•เดพเตป เดซเต†เดกเต‹เดฑ 40 เดชเดฆเตเดงเดคเดฟเดฏเดฟเดŸเตเดจเตเดจเต

เดธเตเดฅเดฟเดฐเดธเตเดฅเดฟเดคเดฟเดฏเดพเดฏเดฟ เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดฎเดพเด•เตเด•เตเดจเตเดจ systemd เดธเดฟเดธเตเดฑเตเดฑเด‚ เดธเต‡เดตเดจเด™เตเด™เตพเด•เตเด•เตเด‚ เด…เดคเตเดชเต‹เดฒเต† PostgreSQL, Apache httpd, Nginx, MariaDB เดคเตเดŸเด™เตเด™เดฟเดฏ เดจเดฟเตผเดฃเดพเดฏเด• เด†เดชเตเดฒเดฟเด•เตเด•เต‡เดทเดจเตเด•เดณเตเดณเตเดณ เดธเต‡เดตเดจเด™เตเด™เตพเด•เตเด•เตเดฎเดพเดฏเดฟ เดเดธเตŠเดฒเต‡เดทเตป เด•เตเดฐเดฎเต€เด•เดฐเดฃเด™เตเด™เตพ เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดฎเดพเด•เตเด•เดพเตป เดซเต†เดกเต‹เดฑ 40 เดฑเดฟเดฒเต€เดธเต เดจเดฟเตผเดฆเตเดฆเต‡เดถเดฟเด•เตเด•เตเดจเตเดจเต. เดˆ เดฎเดพเดฑเตเดฑเด‚ เดกเดฟเดซเต‹เตพเดŸเตเดŸเต เด•เต‹เตบเดซเดฟเด—เดฑเต‡เดทเดจเดฟเดฒเต† เดตเดฟเดคเดฐเดฃเดคเตเดคเดฟเดจเตเดฑเต† เดธเตเดฐเด•เตเดท เด—เดฃเตเดฏเดฎเดพเดฏเดฟ เดตเตผเดฆเตเดงเดฟเดชเตเดชเดฟเด•เตเด•เตเดฎเต†เดจเตเดจเตเด‚ เดธเดฟเดธเตเดฑเตเดฑเด‚ เดธเต‡เดตเดจเด™เตเด™เดณเดฟเดฒเต† เด…เดœเตเดžเดพเดคเดฎเดพเดฏ เด•เต‡เดŸเตเดชเดพเดŸเตเด•เตพ เดคเดŸเดฏเตเดจเตเดจเดคเต เดธเดพเดงเตเดฏเดฎเดพเด•เตเด•เตเดฎเต†เดจเตเดจเตเด‚ เดชเตเดฐเดคเต€เด•เตเดทเดฟเด•เตเด•เตเดจเตเดจเต. เดซเต†เดกเต‹เดฑ เดตเดฟเดคเดฐเดฃเดคเตเดคเดฟเดจเตเดฑเต† เดตเดฟเด•เดธเดจเดคเตเดคเดฟเดจเตเดฑเต† เดธเดพเด™เตเด•เต‡เดคเดฟเด• เดญเดพเด—เดคเตเดคเดฟเดจเต เด‰เดคเตเดคเดฐเดตเดพเดฆเดฟเดฏเดพเดฏ เดซเต†เดกเต‹เดฑ เดŽเดžเตเดšเดฟเดจเต€เดฏเดฑเดฟเด‚เด—เต เดธเตเดฑเตเดฑเดฟเดฏเดฑเดฟเด‚เด—เต เด•เดฎเตเดฎเดฟเดฑเตเดฑเดฟ เดˆ เดจเดฟเตผเดฆเตเดฆเต‡เดถเด‚ เด‡เดคเตเดตเดฐเต† เดชเดฐเดฟเด—เดฃเดฟเดšเตเดšเดฟเดŸเตเดŸเดฟเดฒเตเดฒ. เด•เดฎเตเดฎเตเดฏเต‚เดฃเดฟเดฑเตเดฑเดฟ เด…เดตเดฒเต‹เด•เดจ เดชเตเดฐเด•เตเดฐเดฟเดฏเดฏเดฟเตฝ เด’เดฐเต เดจเดฟเตผเดฆเตเดฆเต‡เดถเดตเตเด‚ เดจเดฟเดฐเดธเดฟเด•เตเด•เดชเตเดชเต†เดŸเตเดŸเต‡เด•เตเด•เดพเด‚.

เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดฎเดพเด•เตเด•เดพเตป เดถเตเดชเดพเตผเดถ เดšเต†เดฏเตเดฏเตเดจเตเดจ เด•เตเดฐเดฎเต€เด•เดฐเดฃเด™เตเด™เตพ:

  • PrivateTmp=yes - เดคเดพเตฝเด•เตเด•เดพเดฒเดฟเด• เดซเดฏเดฒเตเด•เดณเตเดณเตเดณ เดชเตเดฐเดคเตเดฏเต‡เด• เดกเดฏเดฑเด•เตเดŸเดฑเดฟเด•เตพ เดจเตฝเด•เตเดจเตเดจเต.
  • ProtectSystem=yes/full/strict โ€” เดซเดฏเตฝ เดธเดฟเดธเตเดฑเตเดฑเด‚ เดฑเต€เดกเต-เด’เตบเดฒเดฟ เดฎเต‹เดกเดฟเตฝ เดฎเตŒเดฃเตเดŸเต เดšเต†เดฏเตเดฏเตเด• ("เดชเต‚เตผเดฃเตเดฃ" เดฎเต‹เดกเดฟเตฝ - /etc/, เด•เตผเดถเดจเดฎเดพเดฏ เดฎเต‹เดกเดฟเตฝ - /dev/, /proc/ เด•เต‚เดŸเดพเดคเต† /sys/ เด’เดดเดฟเด•เต†เดฏเตเดณเตเดณ เดŽเดฒเตเดฒเดพ เดซเดฏเตฝ เดธเดฟเดธเตเดฑเตเดฑเด™เตเด™เดณเตเด‚).
  • ProtectHome=yes-เด‰เดชเดฏเต‹เด•เตเดคเตƒ เดนเต‹เด‚ เดกเดฏเดฑเด•เตเดŸเดฑเดฟเด•เดณเดฟเดฒเต‡เด•เตเด•เตเดณเตเดณ เดชเตเดฐเดตเต‡เดถเดจเด‚ เดจเดฟเดทเต‡เดงเดฟเด•เตเด•เตเดจเตเดจเต.
  • PrivateDevices=เด…เดคเต† - /dev/null, /dev/zero, /dev/random เดŽเดจเตเดจเดฟเดตเดฏเดฟเดฒเต‡เด•เตเด•เต เดฎเดพเดคเตเดฐเด‚ เดชเตเดฐเดตเต‡เดถเดจเด‚ เดจเตฝเด•เตเดจเตเดจเต
  • ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq เดฎเตเดคเดฒเดพเดฏเดตเดฏเดฟเดฒเต‡เด•เตเด•เต เดตเดพเดฏเดจ-เดฎเดพเดคเตเดฐเด‚ เด†เด•เตโ€Œเดธเดธเตเดธเต.
  • ProtectKernelModules=เด…เดคเต† - เด•เต‡เตผเดฃเตฝ เดฎเตŠเดกเตเดฏเต‚เดณเตเด•เตพ เดฒเต‹เดกเต เดšเต†เดฏเตเดฏเตเดจเตเดจเดคเต เดจเดฟเดฐเต‹เดงเดฟเด•เตเด•เตเด•.
  • ProtectKernelLogs=yes - เด•เต‡เตผเดฃเตฝ เดฒเต‹เด—เตเด•เตพ เด‰เดณเตเดณ เดฌเดซเดฑเดฟเดฒเต‡เด•เตเด•เตเดณเตเดณ เดชเตเดฐเดตเต‡เดถเดจเด‚ เดจเดฟเดฐเต‹เดงเดฟเด•เตเด•เตเดจเตเดจเต.
  • ProtectControlGroups=yes - /sys/fs/cgroup/ เดŽเดจเตเดจเดคเดฟเดฒเต‡เด•เตเด•เตเดณเตเดณ เดตเดพเดฏเดจ-เดฎเดพเดคเตเดฐเด‚ เด†เด•เตเดธเดธเต
  • NoNewPrivileges=เด…เดคเต† - เดธเต†เดฑเตเดฑเต‚เดฏเดฟเดกเต, เดธเต†เดฑเตเดฑเตเด—เดฟเดกเต, เด•เดดเดฟเดตเตเด•เตพ เดŽเดจเตเดจเดฟเดตเดฏเตเดŸเต† เดซเตเดฒเดพเด—เตเด•เตพ เดตเดดเดฟ เดชเตเดฐเดคเตเดฏเต‡เด•เดพเดตเด•เดพเดถเด™เตเด™เตพ เด‰เดฏเตผเดคเตเดคเตเดจเตเดจเดคเต เดจเดฟเดฐเต‹เดงเดฟเด•เตเด•เตเดจเตเดจเต.
  • เดชเตเดฐเตˆเดตเดฑเตเดฑเต เดจเต†เดฑเตเดฑเตโ€Œเดตเตผเด•เตเด•เต=เด…เดคเต† - เดจเต†เดฑเตเดฑเตโ€Œเดตเตผเด•เตเด•เต เดธเตเดฑเตเดฑเดพเด•เตเด•เดฟเดจเตเดฑเต† เดชเตเดฐเดคเตเดฏเต‡เด• เดจเต†เดฏเดฟเด‚เดธเตโ€Œเดชเต†เดฏเตโ€Œเดธเดฟเตฝ เดชเตเดฒเต‡เดธเตโ€Œเดฎเต†เดจเตเดฑเต.
  • ProtectClock=yes-เดธเดฎเดฏเด‚ เดฎเดพเดฑเตเดฑเตเดจเตเดจเดคเต เดจเดฟเดฐเต‹เดงเดฟเด•เตเด•เตเด•.
  • ProtectHostname=เด…เดคเต† - เดนเต‹เดธเตเดฑเตเดฑเต เดจเดพเดฎเด‚ เดฎเดพเดฑเตเดฑเตเดจเตเดจเดคเต เดตเดฟเดฒเด•เตเด•เตเดจเตเดจเต.
  • ProtectProc=invisible - /proc-เตฝ เดฎเดฑเตเดฑเตเดณเตเดณเดตเดฐเตเดŸเต† เดชเตเดฐเด•เตเดฐเดฟเดฏเด•เตพ เดฎเดฑเดฏเตเด•เตเด•เตเดจเตเดจเต.
  • เด‰เดชเดฏเต‹เด•เตเดคเดพเดตเต= - เด‰เดชเดฏเต‹เด•เตเดคเดพเดตเดฟเดจเต† เดฎเดพเดฑเตเดฑเตเด•

เด•เต‚เดŸเดพเดคเต†, เด‡เดจเดฟเดชเตเดชเดฑเดฏเตเดจเตเดจ เด•เตเดฐเดฎเต€เด•เดฐเดฃเด™เตเด™เตพ เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดฎเดพเด•เตเด•เตเดจเตเดจเดคเต เดจเดฟเด™เตเด™เตพเด•เตเด•เต เดชเดฐเดฟเด—เดฃเดฟเด•เตเด•เดพเดตเตเดจเตเดจเดคเดพเดฃเต:

  • CapabilityBoundingSet=
  • DevicePolicy=เด…เดŸเดšเตเดšเต
  • เด•เต€เดฑเดฟเด‚เด—เต เดฎเต‹เดกเต=เดธเตเดตเด•เดพเดฐเตเดฏเด‚
  • เดฒเต‹เด•เตเด•เต เดชเต‡เดดเตเดธเดฃเดพเดฒเดฟเดฑเตเดฑเดฟ=เด…เดคเต†
  • MemoryDenyWriteExecute=yes
  • เดธเตเดตเด•เดพเดฐเตเดฏ เด‰เดชเดฏเต‹เด•เตเดคเดพเด•เตเด•เตพ=เด…เดคเต†
  • เดจเต€เด•เตเด•เด‚ เดเดชเดฟเดธเดฟ=เด…เดคเต†
  • เดชเดฐเดฟเดฎเดฟเดคเดตเดฟเดฒเดพเดธเด‚ เด•เตเดŸเตเด‚เดฌเด™เตเด™เตพ=
  • เดชเต‡เดฐเดฟเดŸเด™เตเด™เตพ เดจเดฟเดฏเดจเตเดคเตเดฐเดฟเด•เตเด•เตเด•=เด…เดคเต†
  • เดคเดคเตเดธเดฎเดฏเด‚ เดจเดฟเดฏเดจเตเดคเตเดฐเดฟเด•เตเด•เตเด•=เด…เดคเต†
  • เดจเดฟเดฏเดจเตเดคเตเดฐเดฟเด•เตเด•เตเด•SUIDSGID=เด…เดคเต†
  • SystemCallFilter=
  • SystemCallArchitectures=เดจเต‡เดฑเตเดฑเต€เดตเต

เด…เดตเดฒเด‚เดฌเด‚: opennet.ru

เด’เดฐเต เด…เดญเดฟเดชเตเดฐเดพเดฏเด‚ เดšเต‡เตผเด•เตเด•เตเด•