เจชเฉเจฐเฉ‹เจนเฉ‹เจธเจŸเจฐ > ะ‘ะปะพะณ > เจ‡เฉฐเจŸเจฐเจจเฉˆเฉฑเจŸ เจ–เจฌเจฐ > เจซเฉ‡เจกเฉ‹เจฐเจพ 40 เจธเจฟเจธเจŸเจฎ เจธเจฐเจตเจฟเจธ เจ†เจˆเจธเฉ‹เจฒเฉ‡เจธเจผเจจ เจจเฉ‚เฉฐ เจฏเฉ‹เจ— เจ•เจฐเจจ เจฆเฉ€ เจฏเฉ‹เจœเจจเจพ เจฌเจฃเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ

เจซเฉ‡เจกเฉ‹เจฐเจพ 40 เจธเจฟเจธเจŸเจฎ เจธเจฐเจตเจฟเจธ เจ†เจˆเจธเฉ‹เจฒเฉ‡เจธเจผเจจ เจจเฉ‚เฉฐ เจฏเฉ‹เจ— เจ•เจฐเจจ เจฆเฉ€ เจฏเฉ‹เจœเจจเจพ เจฌเจฃเจพเจ‰เจ‚เจฆเจพ เจนเฉˆ

เจซเฉ‡เจกเฉ‹เจฐเจพ 40 เจฐเฉ€เจฒเฉ€เจœเจผ เจธเจฟเจธเจŸเจฎเจก เจธเจฟเจธเจŸเจฎ เจธเฉ‡เจตเจพเจตเจพเจ‚ เจฒเจˆ เจ†เจˆเจธเฉ‹เจฒเฉ‡เจธเจผเจจ เจธเฉˆเจŸเจฟเฉฐเจ— เจจเฉ‚เฉฐ เจฏเฉ‹เจ— เจ•เจฐเจจ เจฆเจพ เจธเฉเจเจพเจ… เจฆเจฟเฉฐเจฆเฉ€ เจนเฉˆ เจœเฉ‹ เจกเจฟเจซเจพเจฒเจŸ เจคเฉŒเจฐ 'เจคเฉ‡ เจฏเฉ‹เจ— เจนเจจ, เจจเจพเจฒ เจนเฉ€ เจฎเจฟเจธเจผเจจ-เจจเจพเจœเจผเฉเจ• เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ เจœเจฟเจตเฉ‡เจ‚ เจ•เจฟ PostgreSQL, Apache httpd, Nginx, เจ…เจคเฉ‡ MariaDB เจตเจพเจฒเฉ€เจ†เจ‚ เจธเฉ‡เจตเจพเจตเจพเจ‚เฅค เจ‡เจน เจ‰เจฎเฉ€เจฆ เจ•เฉ€เจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆ เจ•เจฟ เจคเจฌเจฆเฉ€เจฒเฉ€ เจกเจฟเจซเฉŒเจฒเจŸ เจธเฉฐเจฐเจšเจจเจพ เจตเจฟเฉฑเจš เจตเฉฐเจก เจฆเฉ€ เจธเฉเจฐเฉฑเจ–เจฟเจ† เจตเจฟเฉฑเจš เจฎเจนเฉฑเจคเจตเจชเฉ‚เจฐเจจ เจตเจพเจงเจพ เจ•เจฐเฉ‡เจ—เฉ€ เจ…เจคเฉ‡ เจธเจฟเจธเจŸเจฎ เจธเฉ‡เจตเจพเจตเจพเจ‚ เจตเจฟเฉฑเจš เจ…เจฃเจœเจพเจฃ เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจจเฉ‚เฉฐ เจฐเฉ‹เจ•เจฃเจพ เจธเฉฐเจญเจต เจฌเจฃเจพเจตเฉ‡เจ—เฉ€เฅค เจซเฉ‡เจธเจ•เฉ‹ (เจซเฉ‡เจกเฉ‹เจฐเจพ เจ‡เฉฐเจœเจจเฉ€เจ…เจฐเจฟเฉฐเจ— เจธเจŸเฉ€เจ…เจฐเจฟเฉฐเจ— เจ•เจฎเฉ‡เจŸเฉ€) เจฆเฉเจ†เจฐเจพ เจชเฉเจฐเจธเจคเจพเจต เจจเฉ‚เฉฐ เจ…เจœเฉ‡ เจคเฉฑเจ• เจตเจฟเจšเจพเจฐเจฟเจ† เจจเจนเฉ€เจ‚ เจ—เจฟเจ† เจนเฉˆ, เจœเฉ‹ เจ•เจฟ เจซเฉ‡เจกเฉ‹เจฐเจพ เจตเฉฐเจก เจฆเฉ‡ เจตเจฟเจ•เจพเจธ เจฆเฉ‡ เจคเจ•เจจเฉ€เจ•เฉ€ เจนเจฟเฉฑเจธเฉ‡ เจฒเจˆ เจœเจผเจฟเฉฐเจฎเฉ‡เจตเจพเจฐ เจนเฉˆเฅค เจ•เจฎเจฟเจŠเจจเจฟเจŸเฉ€ เจธเจฎเฉ€เจ–เจฟเจ† เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจฆเฉŒเจฐเจพเจจ เจ‡เฉฑเจ• เจชเฉเจฐเจธเจคเจพเจต เจจเฉ‚เฉฐ เจฐเฉฑเจฆ เจตเฉ€ เจ•เฉ€เจคเจพ เจœเจพ เจธเจ•เจฆเจพ เจนเฉˆเฅค

เจฏเฉ‹เจ— เจ•เจฐเจจ เจฒเจˆ เจธเจฟเจซเจผเจพเจฐเจฟเจธเจผ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจธเฉˆเจŸเจฟเฉฐเจ—เจพเจ‚:

  • PrivateTmp=yes - เจ…เจธเจฅเจพเจˆ เจซเจพเจˆเจฒเจพเจ‚ เจจเจพเจฒ เจตเฉฑเจ–เจฐเฉ€เจ†เจ‚ เจกเจพเจ‡เจฐเฉˆเจ•เจŸเจฐเฉ€เจ†เจ‚ เจชเฉเจฐเจฆเจพเจจ เจ•เจฐเจจเจพเฅค
  • ProtectSystem=yes/full/strict โ€” เจซเจพเจ‡เจฒ เจธเจฟเจธเจŸเจฎ เจจเฉ‚เฉฐ เจธเจฟเจฐเจซ-เจชเฉœเฉเจนเจจ เจฒเจˆ เจฎเฉ‹เจก เจตเจฟเฉฑเจš เจฎเจพเจŠเจ‚เจŸ เจ•เจฐเฉ‹ (โ€œเจชเฉ‚เจฐเฉ€โ€ เจฎเฉ‹เจก เจตเจฟเฉฑเจš - /etc/, เจธเจ–เจค เจฎเฉ‹เจก เจตเจฟเฉฑเจš - /dev/, /proc/ เจ…เจคเฉ‡ /sys/ เจจเฉ‚เฉฐ เจ›เฉฑเจก เจ•เฉ‡ เจธเจพเจฐเฉ‡ เจซเจพเจ‡เจฒ เจธเจฟเจธเจŸเจฎ)เฅค
  • ProtectHome=yesโ€”เจฏเฉ‚เจœเจผเจฐ เจนเฉ‹เจฎ เจกเจพเจ‡เจฐเฉˆเจ•เจŸเจฐเฉ€เจ†เจ‚ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจคเฉ‹เจ‚ เจ‡เจจเจ•เจพเจฐ เจ•เจฐเจฆเจพ เจนเฉˆเฅค
  • เจชเฉเจฐเจพเจˆเจตเฉ‡เจŸ เจกเจฟเจตเจพเจˆเจธ = เจนเจพเจ‚ - เจธเจฟเจฐเจซ /dev/null, /dev/zero เจ…เจคเฉ‡ /dev/random เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจ›เฉฑเจกเจฃเจพ
  • ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, เจ†เจฆเจฟ เจฒเจˆ เจธเจฟเจฐเจซเจผ เจชเฉœเฉเจนเจจ เจฒเจˆ เจชเจนเฉเฉฐเจšเฅค
  • ProtectKernelModules=yes - เจ•เจฐเจจเจฒ เจฎเฉ‹เจกเฉ€เจŠเจฒ เจฒเฉ‹เจก เจ•เจฐเจจ เจฆเฉ€ เจฎเจจเจพเจนเฉ€ เจนเฉˆเฅค
  • ProtectKernelLogs=yes - เจ•เจฐเจจเจฒ เจฒเฉŒเจ—เจธ เจจเจพเจฒ เจฌเจซเจฐ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจจเฉ‚เฉฐ เจฐเฉ‹เจ•เจฆเจพ เจนเฉˆเฅค
  • ProtectControlGroups=yes - /sys/fs/cgroup/ เจคเฉฑเจ• เจธเจฟเจฐเจซเจผ เจชเฉœเฉเจนเจจ เจฒเจˆ เจชเจนเฉเฉฐเจš
  • NoNewPrivileges=yes - setuid, setgid เจ…เจคเฉ‡ เจธเจฎเจฐเฉฑเจฅเจพ เจซเจฒเฉˆเจ— เจฆเฉเจ†เจฐเจพ เจตเจฟเจธเจผเฉ‡เจธเจผ เจ…เจงเจฟเจ•เจพเจฐเจพเจ‚ เจจเฉ‚เฉฐ เจ‰เฉฑเจšเจพ เจšเฉเฉฑเจ•เจฃ เจฆเฉ€ เจฎเจจเจพเจนเฉ€เฅค
  • PrivateNetwork=yes - เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจธเจŸเฉˆเจ• เจฆเฉ‡ เจ‡เฉฑเจ• เจตเฉฑเจ–เจฐเฉ‡ เจจเฉ‡เจฎเจธเจชเฉ‡เจธ เจตเจฟเฉฑเจš เจชเจฒเฉ‡เจธเจฎเฉˆเจ‚เจŸเฅค
  • ProtectClock=yesโ€”เจธเจฎเจพเจ‚ เจฌเจฆเจฒเจฃ เจฆเฉ€ เจฎเจจเจพเจนเฉ€ เจ•เจฐเฉ‹เฅค
  • ProtectHostname=yes - เจนเฉ‹เจธเจŸ เจจเจพเจฎ เจฌเจฆเจฒเจฃ เจฆเฉ€ เจฎเจจเจพเจนเฉ€ เจนเฉˆเฅค
  • ProtectProc=invisible - เจนเฉ‹เจฐ เจฒเฉ‹เจ•เจพเจ‚ เจฆเฉ€เจ†เจ‚ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ†เจตเจพเจ‚ เจจเฉ‚เฉฐ /proc เจตเจฟเฉฑเจš เจฒเฉเจ•เจพเจ‰เจฃเจพเฅค
  • เจ‰เจชเจญเฉ‹เจ—เจคเจพ = - เจ‰เจชเจญเฉ‹เจ—เจคเจพ เจฌเจฆเจฒเฉ‹

เจ‡เจธ เจคเฉ‹เจ‚ เจ‡เจฒเจพเจตเจพ, เจคเฉเจธเฉ€เจ‚ เจนเฉ‡เจ  เจฒเจฟเจ–เฉ€เจ†เจ‚ เจธเฉˆเจŸเจฟเฉฐเจ—เจพเจ‚ เจจเฉ‚เฉฐ เจธเจฎเจฐเฉฑเจฅ เจ•เจฐเจจ เจฌเจพเจฐเฉ‡ เจตเจฟเจšเจพเจฐ เจ•เจฐ เจธเจ•เจฆเฉ‡ เจนเฉ‹:

  • เจธเจฎเจฐเฉฑเจฅเจพ เจฌเจพเจŠเจ‚เจกเจฟเฉฐเจ— เจธเฉˆเฉฑเจŸ=
  • เจกเจฟเจตเจพเจˆเจธ เจชเจพเจฒเจฟเจธเฉ€ = เจฌเฉฐเจฆ
  • เจ•เฉ€เจฐเจฟเฉฐเจ—เจฎเฉ‹เจก=เจชเฉเจฐเจพเจˆเจตเฉ‡เจŸ
  • เจฒเฉŒเจ• เจชเจฐเจธเจจเฉˆเจฒเจฟเจŸเฉ€ = เจนเจพเจ‚
  • MemoryDenyWriteExecute=เจนเจพเจ‚
  • เจชเฉเจฐเจพเจˆเจตเฉ‡เจŸ เจ‰เจชเจญเฉ‹เจ—เจคเจพ = เจนเจพเจ‚
  • IPC เจจเฉ‚เฉฐ เจนเจŸเจพเจ“ = เจนเจพเจ‚
  • RestrictAddressFamilies=
  • RestrictNamespaces=เจนเจพเจ‚
  • RestrictRealtime=เจนเจพเจ‚
  • RestrictSUIDSGID=เจนเจพเจ‚
  • เจธเจฟเจธเจŸเจฎเจ•เจพเจฒ เจซเจฟเจฒเจŸเจฐ=
  • เจธเจฟเจธเจŸเจฎเจ•เจพเจฒ เจ†เจฐเจ•เฉ€เจŸเฉˆเจ•เจšเจฐ = เจฎเฉ‚เจฒ

เจธเจฐเฉ‹เจค: opennet.ru

เจ‡เฉฑเจ• เจŸเจฟเฉฑเจชเจฃเฉ€ เจœเฉ‹เฉœเฉ‹