ProHoster > ╨С╨╗╨╛╨│ > рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > рдлреЗрдбреЛрд░рд╛ рекреж рдорд╛ рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛рд╣рд░реВрдХреЛ рдЕрд▓рдЧрд╛рд╡ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░рд┐рдиреЗрдЫ

рдлреЗрдбреЛрд░рд╛ рекреж рдорд╛ рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛рд╣рд░реВрдХреЛ рдЕрд▓рдЧрд╛рд╡ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░рд┐рдиреЗрдЫ

рдлреЗрдбреЛрд░рд╛ рекреж рд▓реЗ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд systemd рд╕реЗрд╡рд╛рд╣рд░реВрдХрд╛ рд╕рд╛рдереИ PostgreSQL, Apache httpd, Nginx, рд░ MariaDB рдЬрд╕реНрддрд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдЕрдиреБрдкреНрд░рдпреЛрдЧрд╣рд░реВ рдЪрд▓рд╛рдЙрдиреЗ рд╕реЗрд╡рд╛рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдЖрдЗрд╕реЛрд▓реЗрд╕рди рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рд╕рдХреНрд╖рдо рдкрд╛рд░реНрдиреЗ рдкреНрд░рд╕реНрддрд╛рд╡ рдЧрд░реНрджрдЫред рдпреЛ рдкрд░рд┐рд╡рд░реНрддрдирд▓реЗ рдпрд╕рдХреЛ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рдирдорд╛ рд╡рд┐рддрд░рдгрдХреЛ рд╕реБрд░рдХреНрд╖рд╛рдорд╛ рдЙрд▓реНрд▓реЗрдЦрдиреАрдп рд╕реБрдзрд╛рд░ рдЧрд░реНрдиреЗ рд░ рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛рд╣рд░реВрдорд╛ рдЕрдЬреНрдЮрд╛рдд рдХрдордЬреЛрд░реАрд╣рд░реВрд▓рд╛рдИ рд░реЛрдХреНрди рд╕рдХреНрд╖рдо рдкрд╛рд░реНрдиреЗ рдЕрдкреЗрдХреНрд╖рд╛ рдЧрд░рд┐рдПрдХреЛ рдЫред рдлреЗрдбреЛрд░рд╛ рд╡рд┐рддрд░рдгрдХреЛ рд▓рд╛рдЧрд┐ рдкреНрд░рд╛рд╡рд┐рдзрд┐рдХ рд╡рд┐рдХрд╛рд╕ рд╕рдорд┐рддрд┐, FESCo (рдлреЗрдбреЛрд░рд╛ рдЗрдиреНрдЬрд┐рдирд┐рдпрд░рд┐рдЩ рд╕реНрдЯреАрдпрд░рд┐рдЩ рдХрдорд┐рдЯреА) рджреНрд╡рд╛рд░рд╛ рдкреНрд░рд╕реНрддрд╛рд╡рдХреЛ рд╕рдореАрдХреНрд╖рд╛ рдЧрд░рд┐рдПрдХреЛ рдЫреИрдиред рд╕рдореБрджрд╛рдп рд╕рдореАрдХреНрд╖рд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдХреЛ рдХреНрд░рдордорд╛ рдкреНрд░рд╕реНрддрд╛рд╡ рдкрдирд┐ рдЕрд╕реНрд╡реАрдХрд╛рд░ рд╣реБрди рд╕рдХреНрдЫред

рд╕рдХреНрд╖рдо рдкрд╛рд░реНрди рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдПрдХрд╛ рд╕реЗрдЯрд┐рдЩрд╣рд░реВ:

  • PrivateTmp=yes тАФ рдЕрд╕реНрдерд╛рдпреА рдлрд╛рдЗрд▓рд╣рд░реВ рд╕рд╣рд┐рддрдХреЛ рдЫреБрдЯреНрдЯреИ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рд╣рд░реВ рдкреНрд░рджрд╛рди рдЧрд░реНрджреИред
  • ProtectSystem=yes/full/strict тАФ рдкрдвреНрдиреЗ-рдорд╛рддреНрд░ рдореЛрдбрдорд╛ рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВ рдорд╛рдЙрдиреНрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реН ("рдкреВрд░реНрдг" рдореЛрдбрдорд╛ тАФ /etc/, рдХрдбрд╛ рдореЛрдбрдорд╛ тАФ /dev/, /proc/ рд░ /sys/ рдмрд╛рд╣реЗрдХ рд╕рдмреИ рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВ)ред
  • ProtectHome=yes тАФ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрдХреЛ рдЧреГрд╣ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рд╣рд░реВрдорд╛ рдкрд╣реБрдБрдЪ рдирд┐рд╖реЗрдз рдЧрд░реНрджрдЫред
  • PrivateDevices=yes тАФ /dev/null, /dev/zero, рд░ /dev/random рдорд╛ рдорд╛рддреНрд░ рдкрд╣реБрдБрдЪ рдЫреЛрдбреНрджреИ
  • ProtectKernelTunables=yes тАФ /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, рдЖрджрд┐рдорд╛ рдкрдвреНрди-рдорд╛рддреНрд░ рдкрд╣реБрдБрдЪред
  • ProtectKernelModules=yes тАФ рдХрд░реНрдиреЗрд▓ рдореЛрдбреНрдпреБрд▓рд╣рд░реВрдХреЛ рд▓реЛрдбрд┐рдЩ рдЕрд╕рдХреНрд╖рдо рдкрд╛рд░реНрдиреБрд╣реЛрд╕реНред
  • ProtectKernelLogs=yes тАФ рдХрд░реНрдиреЗрд▓ рд▓рдЧ рдмрдлрд░рдорд╛ рдкрд╣реБрдБрдЪ рдЕрд╕рдХреНрд╖рдо рдкрд╛рд░реНрдЫред
  • ProtectControlGroups=yes тАФ /sys/fs/cgroup/ рдорд╛ рдкрдвреНрдиреЗ-рдорд╛рддреНрд░ рдкрд╣реБрдБрдЪ
  • NoNewPrivileges=yes тАФ setuid, setgid, рд░ capabilities рдлреНрд▓реНрдпрд╛рдЧрд╣рд░реВ рдорд╛рд░реНрдлрдд рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐рд▓рд╛рдИ рдЕрд╕рдХреНрд╖рдо рдкрд╛рд░реНрдЫред
  • PrivateNetwork=yes тАФ рдЫреБрдЯреНрдЯреИ рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреНрдпрд╛рдХ рдиреЗрдорд╕реНрдкреЗрд╕рдорд╛ рд░рд╛рдЦреНрджреИред
  • ProtectClock=yes тАФ рд╕рдордп рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрди рдирд┐рд╖реЗрдз рдЧрд░реНрджрдЫред
  • ProtectHostname=yes тАФ рд╣реЛрд╕реНрдЯ рдирд╛рдо рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрди рдирд┐рд╖реЗрдз рдЧрд░реНрджрдЫред
  • ProtectProc=рдЕрджреГрд╢реНрдп тАФ /proc рдорд╛ рдЕрдиреНрдп рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВ рд▓реБрдХрд╛рдЙрдБрдЫред
  • рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ = тАФ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрдиреБрд╣реЛрд╕реН

рдердк рд░реВрдкрдорд╛, рдирд┐рдореНрди рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рд╡рд┐рдЪрд╛рд░ рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫ:

  • рдХреНрд╖рдорддрд╛ рдмрд╛рдЙрдиреНрдбрд┐рдЩрд╕реЗрдЯ=
  • рдЙрдкрдХрд░рдг рдиреАрддрд┐ = рдмрдиреНрдж
  • рдХрд┐рд░рд┐рдЩрдореЛрдб=рдирд┐рдЬреА
  • рд▓рдХ рд╡реНрдпрдХреНрддрд┐рддреНрд╡ = рд╣реЛ
  • рдореЗрдореЛрд░реАрдбреЗрдиреАрд░рд╛рдЗрдЯрдПрдХреНрдЬрд┐рдХреНрдпреБрдЯ=рд╣реЛ
  • рдирд┐рдЬреА рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВ = рд╣реЛ
  • IPC рд╣рдЯрд╛рдЙрдиреБрд╣реЛрд╕реН = рд╣реЛ
  • рдкрд░рд┐рд╡рд╛рд░рд╣рд░реВрдХреЛ рдареЗрдЧрд╛рдирд╛ рдкреНрд░рддрд┐рдмрдиреНрдзрд┐рдд рдЧрд░реНрдиреБрд╣реЛрд╕реН =
  • RestrictNamespaces=рд╣реЛ
  • рдкреНрд░рддрд┐рдмрдиреНрдзрд┐рдд рд╡рд╛рд╕реНрддрд╡рд┐рдХ рд╕рдордп = рд╣реЛ
  • рдкреНрд░рддрд┐рдмрдиреНрдзрд┐рддSUIDSGID=рд╣реЛ
  • рд╕рд┐рд╕реНрдЯрдордХрд▓рдлрд┐рд▓реНрдЯрд░=
  • рд╕рд┐рд╕реНрдЯрдордХрд▓рдЖрд░реНрдХрд┐рдЯреЗрдХреНрдЪрд░=рдиреЗрдЯрд┐рдн

рд╕реНрд░реЛрдд: opennet.ru

DDoS рд╕реБрд░рдХреНрд╖рд╛, VPS VDS рд╕рд░реНрднрд░рд╣рд░реВ рднрдПрдХрд╛ рд╕рд╛рдЗрдЯрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рднрд░рдкрд░реНрджреЛ рд╣реЛрд╕реНрдЯрд┐рдЩ рдЦрд░рд┐рдж рдЧрд░реНрдиреБрд╣реЛрд╕реН ЁЯФе DDoS рд╕реБрд░рдХреНрд╖рд╛, VPS VDS рд╕рд░реНрднрд░рд╣рд░реВ рд╕рд╣рд┐рддрдХреЛ рднрд░рдкрд░реНрджреЛ рд╡реЗрдмрд╕рд╛рдЗрдЯ рд╣реЛрд╕реНрдЯрд┐рдЩ рдХрд┐рдиреНрдиреБрд╣реЛрд╕реН | ProHoster