рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > рдлрд╛рдпрд░рдЬреЗрд▓ рдЖрд╡реЗрджрди рдЕрд▓рдЧрд╛рд╡ рдкреНрд░рдгрд╛рд▓реА рд░рд┐рд▓реАрдЬ 0.9.72

рдлрд╛рдпрд░рдЬреЗрд▓ рдЖрд╡реЗрджрди рдЕрд▓рдЧрд╛рд╡ рдкреНрд░рдгрд╛рд▓реА рд░рд┐рд▓реАрдЬ 0.9.72

рдлрд╛рдпрд░рдЬреЗрд▓ 0.9.72 рдкреНрд░реЛрдЬреЗрдХреНрдЯрдХреЛ рд░рд┐рд▓реАрдЬ рдкреНрд░рдХрд╛рд╢рд┐рдд рдЧрд░рд┐рдПрдХреЛ рдЫ, рдЬрд╕рд▓реЗ рдЕрд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рд╡рд╛ рд╕рдореНрднрд╛рд╡рд┐рдд рд░реВрдкрдорд╛ рдХрдордЬреЛрд░ рдХрд╛рд░реНрдпрдХреНрд░рдорд╣рд░реВ рдЪрд▓рд╛рдЙрдБрджрд╛ рдореБрдЦреНрдп рдкреНрд░рдгрд╛рд▓реАрдорд╛ рд╕рдореНрдЭреМрддрд╛ рдЧрд░реНрдиреЗ рдЬреЛрдЦрд┐рдорд▓рд╛рдИ рдХрдо рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдБрджреИ рдЧреНрд░рд╛рдлрд┐рдХрд▓, рдХрдиреНрд╕реЛрд▓ рд░ рд╕рд░реНрднрд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧрд╣рд░реВрдХреЛ рдкреГрдердХ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдХреЛ рд▓рд╛рдЧрд┐ рдкреНрд░рдгрд╛рд▓реА рд╡рд┐рдХрд╛рд╕ рдЧрд░реНрджрдЫред рдХрд╛рд░реНрдпрдХреНрд░рдо C рдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рдЫ, GPLv2 рдЗрдЬрд╛рдЬрддрдкрддреНрд░ рдЕрдиреНрддрд░реНрдЧрдд рд╡рд┐рддрд░рдг рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ 3.0 рднрдиреНрджрд╛ рдкреБрд░рд╛рдиреЛ рдХрд░реНрдиреЗрд▓рдХреЛ рд╕рд╛рде рдХреБрдиреИ рдкрдирд┐ рд▓рд┐рдирдХреНрд╕ рд╡рд┐рддрд░рдгрдорд╛ рдЪрд▓реНрди рд╕рдХреНрдЫред рд░реЗрдбрд┐рдореЗрдб рдлрд╛рдпрд░рдЬреЗрд▓ рдкреНрдпрд╛рдХреЗрдЬрд╣рд░реВ deb (Debian, Ubuntu) рд░ rpm (CentOS, Fedora) рдврд╛рдБрдЪрд╛рд╣рд░реВрдорд╛ рддрдпрд╛рд░ рд╣реБрдиреНрдЫрдиреНред

рдЕрд▓рдЧрд╛рд╡рдХреЛ рд▓рд╛рдЧрд┐, рдлрд╛рдпрд░рдЬреЗрд▓рд▓реЗ рд▓рд┐рдирдХреНрд╕рдорд╛ рдиреЗрдорд╕реНрдкреЗрд╕, рдПрдкрдЖрд░реНрдорд░ рд░ рдкреНрд░рдгрд╛рд▓реА рдХрд▓ рдлрд┐рд▓реНрдЯрд░рд┐рдЩ (seccomp-bpf) рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред рдПрдХ рдкрдЯрдХ рд╕реБрд░реБ рднрдПрдкрдЫрд┐, рдХрд╛рд░реНрдпрдХреНрд░рдо рд░ рдпрд╕рдХрд╛ рд╕рдмреИ рдмрд╛рд▓ рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВрд▓реЗ рдХрд░реНрдиреЗрд▓ рд╕реНрд░реЛрддрд╣рд░реВрдХреЛ рдЫреБрдЯреНрдЯреИ рджреГрд╢реНрдпрд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫ, рдЬрд╕реНрддреИ рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреНрдпрд╛рдХ, рдкреНрд░рдХреНрд░рд┐рдпрд╛ рддрд╛рд▓рд┐рдХрд╛, рд░ рдорд╛рдЙрдиреНрдЯ рдкреЛрдЗрдиреНрдЯрд╣рд░реВред рдПрдкреНрд▓рд┐рдХреЗрд╕рдирд╣рд░реВ рдЬреБрди рдПрдХ рдЕрд░реНрдХрд╛рдорд╛ рдирд┐рд░реНрднрд░ рдЫрдиреН рдПрдХ рд╕рд╛рдЭрд╛ рд╕реНрдпрд╛рдиреНрдбрдмрдХреНрд╕рдорд╛ рдЬреЛрдбреНрди рд╕рдХрд┐рдиреНрдЫред рдпрджрд┐ рдЪрд╛рд╣рд┐рдпреЛ рднрдиреЗ, рдлрд╛рдпрд░рдЬреЗрд▓ рдбрдХрд░, LXC рд░ OpenVZ рдХрдиреНрдЯреЗрдирд░рд╣рд░реВ рдЪрд▓рд╛рдЙрди рдкрдирд┐ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫред

рдХрдиреНрдЯреЗрдирд░ рдЕрд▓рдЧрд╛рд╡ рдЙрдкрдХрд░рдгрд╣рд░реВрдХреЛ рд╡рд┐рдкрд░реАрдд, рдлрд╛рдпрд░рдЬреЗрд▓ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░реНрди рдПрдХрджрдо рд╕рд░рд▓ рдЫ рд░ рдкреНрд░рдгрд╛рд▓реА рдЫрд╡рд┐рдХреЛ рддрдпрд╛рд░реА рдЖрд╡рд╢реНрдпрдХ рдкрд░реНрджреИрди - рдХрдиреНрдЯреЗрдирд░ рд╕рдВрд░рдЪрдирд╛ рд╣рд╛рд▓рдХреЛ рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрдХреЛ рд╕рд╛рдордЧреНрд░реАрдХреЛ рдЖрдзрд╛рд░рдорд╛ рдлреНрд▓рд╛рдИрдорд╛ рдмрдирд╛рдЗрдиреНрдЫ рд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧ рдкреВрд░рд╛ рднрдПрдкрдЫрд┐ рдореЗрдЯрд╛рдЗрдиреНрдЫред рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрдорд╛ рдкрд╣реБрдБрдЪ рдирд┐рдпрдорд╣рд░реВ рд╕реЗрдЯ рдЧрд░реНрдиреЗ рд▓рдЪрд┐рд▓реЛ рдорд╛рдзреНрдпрдорд╣рд░реВ рдкреНрд░рджрд╛рди рдЧрд░рд┐рдПрдХреЛ рдЫ; рддрдкрд╛рдЗрдБ рдХреБрди рдлрд╛рдЗрд▓рд╣рд░реВ рд░ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВрд▓рд╛рдИ рдЕрдиреБрдорддрд┐ рджрд┐рдЗрдиреНрдЫ рд╡рд╛ рдкрд╣реБрдБрдЪ рдЕрд╕реНрд╡реАрдХрд╛рд░ рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ, рдбрд╛рдЯрд╛рдХреЛ рд▓рд╛рдЧрд┐ рдЕрд╕реНрдерд╛рдпреА рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВ (tmpfs) рдЬрдбрд╛рди рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ, рдлрд╛рдЗрд▓рд╣рд░реВ рд╡рд╛ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВрдорд╛ рдкрд╣реБрдБрдЪ рд╕реАрдорд┐рдд рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ, рдкрдвреНрди рдорд╛рддреНрд░, рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВ рд╕рдВрдпреЛрдЬрди рдЧрд░реНрдиреБрд╣реЛрд╕реНред рдмрд╛рдЗрдиреНрдб-рдорд╛рдЙрдиреНрдЯ рд░ рдУрднрд░рд▓реЗрдлрд╣рд░реВред

рдлрд╛рдпрд░рдлрдХреНрд╕, рдХреНрд░реЛрдорд┐рдпрдо, рд╡реАрдПрд▓рд╕реА рд░ рдЯреНрд░рд╛рдиреНрд╕рдорд┐рд╕рди рд╕рд╣рд┐рдд рдзреЗрд░реИ рд▓реЛрдХрдкреНрд░рд┐рдп рдЕрдиреБрдкреНрд░рдпреЛрдЧрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐, рддрдпрд╛рд░-рдирд┐рд░реНрдорд┐рдд рдкреНрд░рдгрд╛рд▓реА рдХрд▓ рдЕрд▓рдЧрд╛рд╡ рдкреНрд░реЛрдлрд╛рдЗрд▓рд╣рд░реВ рддрдпрд╛рд░ рдЧрд░рд┐рдПрдХреЛ рдЫред рд╕реНрдпрд╛рдиреНрдбрдмрдХреНрд╕ рдЧрд░рд┐рдПрдХреЛ рд╡рд╛рддрд╛рд╡рд░рдг рд╕реЗрдЯрдЕрдк рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд╣рд░реВ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди, рдлрд╛рдпрд░рдЬреЗрд▓ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдпреЛрдЧреНрдп SUID рд░реВрдЯ рдлреНрд▓реНрдпрд╛рдЧрдХреЛ рд╕рд╛рде рд╕реНрдерд╛рдкрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдЫ (рдкреНрд░рд╛рд░рдореНрднрд┐рдХрддрд╛ рдкрдЫрд┐ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд╣рд░реВ рд░рд┐рд╕реЗрдЯ рдЧрд░рд┐рдиреНрдЫ)ред рдЖрдЗрд╕реЛрд▓реЗрд╕рди рдореЛрдбрдорд╛ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдЪрд▓рд╛рдЙрдирдХреЛ рд▓рд╛рдЧрд┐, рдлрд╛рдпрд░рдЬреЗрд▓ рдЙрдкрдпреЛрдЧрд┐рддрд╛рдХреЛ рддрд░реНрдХрдХреЛ рд░реВрдкрдорд╛ рдЕрдиреБрдкреНрд░рдпреЛрдЧрдХреЛ рдирд╛рдо рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реН, рдЙрджрд╛рд╣рд░рдгрдХрд╛ рд▓рд╛рдЧрд┐, "рдлрд╛рдпрд░рдЬреЗрд▓ рдлрд╛рдпрд░рдлрдХреНрд╕" рд╡рд╛ "рд╕реБрдбреЛ рдлрд╛рдпрд░рдЬреЗрд▓ /etc/init.d/nginx start"ред

рдирдпрд╛рдБ рд░рд┐рд▓реАрдЬ рдорд╛:

  • рдкреНрд░рдгрд╛рд▓реА рдХрд▓рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рд╕реЗрдХрдореНрдк рдлрд┐рд▓реНрдЯрд░ рдердкрд┐рдпреЛ рдЬрд╕рд▓реЗ рдиреЗрдорд╕реНрдкреЗрд╕рд╣рд░реВрдХреЛ рд╕рд┐рд░реНрдЬрдирд╛рд▓рд╛рдИ рд░реЛрдХреНрдЫ ("--рдкреНрд░рддрд┐рдмрдиреНрдз-рдирд╛рдорд╕реНрдкреЗрд╕" рд╡рд┐рдХрд▓реНрдк рд╕рдХреНрд╖рдо рдЧрд░реНрди рдердкрд┐рдПрдХреЛ рдЫ)ред рдкреНрд░рдгрд╛рд▓реА рдХрд▓ рддрд╛рд▓рд┐рдХрд╛рд╣рд░реВ рд░ seccomp рд╕рдореВрд╣рд╣рд░реВ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рдЧрд░рд┐рдпреЛред
  • рд╕реБрдзрд╛рд░рд┐рдПрдХреЛ force-nonewprivs рдореЛрдб (NO_NEW_PRIVS), рдЬрд╕рд▓реЗ рдирдпрд╛рдБ рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВрд▓рд╛рдИ рдердк рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд╣рд░реВ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрдирдмрд╛рдЯ рд░реЛрдХреНрдЫред
  • рддрдкрд╛рдИрдВрдХреЛ рдЖрдлреНрдиреИ AppArmor рдкреНрд░реЛрдлрд╛рдЗрд▓рд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдХреНрд╖рдорддрд╛ рдердкрд┐рдпреЛ ("--apparmor" рд╡рд┐рдХрд▓реНрдк рдЬрдбрд╛рдирдХреЛ рд▓рд╛рдЧрд┐ рдкреНрд░рд╕реНрддрд╛рд╡ рдЧрд░рд┐рдПрдХреЛ рдЫ)ред
  • рдиреЗрдЯрдЯреНрд░реЗрд╕ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░рд╛рдлрд┐рдХ рдЯреНрд░реНрдпрд╛рдХрд┐рдЩ рдкреНрд░рдгрд╛рд▓реА, рдЬрд╕рд▓реЗ рдкреНрд░рддреНрдпреЗрдХ рдареЗрдЧрд╛рдирд╛рдмрд╛рдЯ IP рд░ рдЯреНрд░рд╛рдлрд┐рдХ рддреАрд╡реНрд░рддрд╛ рдмрд╛рд░реЗ рдЬрд╛рдирдХрд╛рд░реА рджреЗрдЦрд╛рдЙрдБрдЫ, ICMP рд╕рдорд░реНрдерди рд▓рд╛рдЧреВ рдЧрд░реНрджрдЫ рд░ "--dnstrace", "--icmptrace" рд░ "--snitrace" рд╡рд┐рдХрд▓реНрдкрд╣рд░реВ рдкреНрд░рджрд╛рди рдЧрд░реНрджрдЫред
  • --cgroup рд░ --shell рдЖрджреЗрд╢рд╣рд░реВ рд╣рдЯрд╛рдЗрдПрдХрд╛ рдЫрдиреН (рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд --shell=none рд╣реЛ)ред рдлрд╛рдпрд░рдЯрдиреЗрд▓ рдирд┐рд░реНрдорд╛рдг рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рд░реЛрдХрд┐рдПрдХреЛ рдЫред /etc/firejail/firejail.config рдорд╛ chroot, private-lib рд░ tracelog рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рдЕрд╕рдХреНрд╖рдо рдкрд╛рд░рд┐рдпреЛред grsecurity рд╕рдорд░реНрдерди рдмрдиреНрдж рдЧрд░рд┐рдПрдХреЛ рдЫред

рд╕реНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди