Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 28
Текст из файла (страница 28)
файл Documentation/svga.txt).** Sound* Sound card support (CONFIG_SOUND) [Y/n/?] <n>Эта опция позволяет выбрать тип поддерживаемой звуковой карты.** USB supportГлава 6. Безопасность и оптимизация ядра91Support for USB (CONFIG_USB) [Y/n/?] <n>Эта опция включает/выключает поддержку USB.** Kernel hacking* Kernel debugging (CONFIG_DEBUG_KERNEL) [N/y/?] <Enter>Эта опция используется только разработчиками ядра при его тестировании и отладке.** Grsecurity*Этот раздел появляется только, если к исходным кодам ядра был применен патч Grsecurity, и позволяетосуществить настройки, связанные с обеспечением безопасности ядра.Grsecurity (CONFIG_GRKERNSEC) [N/y/?] <y>Эта опция включает поддержку патча Grsecurity.Security level (Low, Medium, High, Customized) [Customized] <Enter>Эта опция позволяет выбрать требуемый вариант конфигурации Grsecurity.** Buffer Overflow Protection*Openwall non-executable stack (CONFIG_GRKERNSEC_STACK) [N/y/?] <y>Включение этой опции запрещает выполнение кода в стеке, делая переполнение буфера невозможным.Gcc trampoline support (CONFIG_GRKERNSEC_STACK_GCC) [N/y/?] <Enter>Отключение этой опции не позволяет держать в стеке исполняемый код.Read-only kernel memory (CONFIG_GRKERNSEC_KMEM) [N/y/?] <y>Включение этой опции разрешает доступ к памяти ядра в режиме «только чтение".
В сочетании с использованием ядра с монолитной архитектурой это полностью (даже для хакера, получившего права доступаroot) исключает возможность модификации кода ядра.** Access Control Lists*Grsecurity ACL system (CONFIG_GRKERNSEC_ACL) [N/y/?] <y>Эта опция включает/отключает поддержку списка контроля доступа (ACL) для Grsecurity, определяющего,кому и какие действия разрешены в защищаемой системе.ACL Debugging Messages (CONFIG_GR_DEBUG) [N/y/?] <y>Включение этой опции разрешает вывод отладочных сообщений об ошибках в конфигурации ACL.Extra ACL Debugging Messages (CONFIG_GR_SUPERDEBUG) [N/y/?] <Enter>Включение этой опции разрешает вывод дополнительных отладочных сообщений об ошибках в конфигурации списков ACL.Denied capability logging (CONFIG_GRKERNSEC_ACL_CAPLOG) [N/y/?] <y>Включение этой опции разрешает запись в файлы регистрации отклоненной возможности, это очень полезно при отладке конфигураций списков ACL.Path to gradm (CONFIG_GRADM_PATH) [/sbin/gradm] <Enter>Эта опция Grsecurity задает путь к установленныv исполняемым файлам программы gradm, используемойдля управления Grsecurity ACL.
Установка gradm описана ниже.Maximum tries before password lockout (CONFIG_GR_MAXTRIES) [3] 2Эта опция определяет максимальное количество попыток авторизации пользователя перед временной блокировкой доступа.Time to wait after max password tries, in seconds (CONFIG GR TIMEOUT)[30] <Enter>92Часть 1. Инсталляция операционной системы Linux на сервереЭта опция определяет продолжительность паузы, в течение которой пользователь должен ждать доступа кACL, после введения определенного выше числа недопустимых паролей.** Pilesysfcem Protections*Proc restrictions (CONFIG_GRKERNSEC_PROC) [N/y/?] <y>Эта опция ограничивает права доступа к файловой системе /proc.Restrict to user only (CONFIG_GRKERNSEC_PROC_USER) [N/y/?] <y>Эта опция Grsecurity ограничивает права непривилегированных пользователей.
При ее включении пользователи смогут выполнять только свои собственные процессы, не имея доступа к информации о сети, модулях,версии ядра и т. п.Additional restrictions (CONFIG_GRKERNSEC_PROC_ADD) [N/y/?] <y>Эта опция включает/отключает поддержку дополнительных ограничений на доступ к файловой системе/proc, препятствующих просмотру обычными пользователями сведений об устройствах и центральномпроцессоре.Linking restrictions (CONFIG_GRKERNSEC_LINK) [N/y/?] <y>Эта опция включает/отключает поддержку запрета использования символьных ссылок, принадлежащихдругим пользователям.FIFO restrictions (CONFIG_GRKERNSEC_FIFO) [N/y/?] <y>Эта опция Grsecurity позволяет разрешить защиту ограничений FIFO на системе.Secure file descriptors (CONFIG_GRKERNSEC_FD) [N/y/?] <y>Эта опция включает/отключает поддержку использования дескрипторов безопасности исполняемыхфайлов и повышает стойкость системы к хакерским атакам, основанным на подмене данных в сетевых пакетах (data spoofing atack).Chroot-jail restrictions (CONFIG_GRKERNSEC_CHROOT) [N/y/?] <y>Эта опция включает/отключает поддержку выбора дополнительных опций, усложняющих взлом окружения chroot-jail.Restricted signals (CONFIG_GRKERNSEC_CHROOT_SIG) [N/y/?] <y>Эта опция включает/отключает поддержку запрета на отправку сигналов от процессов, работающих вокружении chroot-jail за его пределы.Deny mounts (CONFIG_GRKERNSEC_CHROOT_MOUNT) [N/y/?] <y>Эта опция включает/отключает поддержку запрета на монтирование файловых систем внутри окружения chroot-jail.Deny double-chroots (CONFIG_GRKERNSEC_CHROOT_DOUBLE) [N/y/?] <y>Эта опция включает/отключает поддержку запрета на повторное использование команды chroot процессами, работающими в среде chroot.Enforce chdir("/") on all chroots (CONFIG_GRKERNSEC_CHROOT_CHDIR) [N/y/?]<y>Эта опция позволяет установить корневой каталог среды chroot в качестве рабочего каталога всех вновь запускаемых приложений в среде chroot.Deny (f)chmod +s (CONFIG_GRKERNSEC_CHROOT_CHMOD) [N/y/?] <y>Эта опция позволяет установить запрет на обращение процессов, работающих в среде chroot, к командамchmod или fchmod.
Эти команды нужны для установки SUID или SGID-битов в правах доступа к файлам.Deny mknod (CONFIG_GRKERNSEC_CHROOT_MKNOD) [N/y/?] <y>Эта опция позволяет установить запрет на создание устройств процессами, работающими в среде chroot.Deny ptraces (CONFIG_GRKERNSEC_CHROOT_PTRACE) [N/y/?] <y>Эта опция Grsecurity позволяет разрешить защиту ptraces на системе. Если вы отвечаете здесь "y", процессывнутри chroot не смогут обратиться к ptrace других процессов.Глава 6.
Безопасность и оптимизация ядра93Restrict priority changes (CONFIG_GRKERNSEC_CHROOT_NICE) [N/y/?] <y>Эта опция позволяет установить запрет на изменение приоритетов процессов. При этом процессы, работающие внутри chroot, не смогут поднять приоритет процессов в среде chroot или изменить приоритет процессов вне chroot.Capability restrictions within chroot (CONFIG_GRKERNSEC_CHROOT_CAPS)[N/y/?] <Enter>Включение этой опции сделает невозможным запуск ряда широко используемых приложений.Secure keymap loading (CONFIG_GRKERNSEC_KBMAP) [N/y/?] <y>Эта опция позволяет установить запрет на изменение раскладки консоли непривилегированными пользователями.*** Kernel Auditing*Single group for auditing (CONFIG_GRKERNSEC_AUDIT_GROUP) [N/y/?] <Enter>Exec logging (CONFIG_GRKERNSEC_EXECLOG) [N/y/?] <Enter>Log execs within chroot (CONFIG_GRKERNSEC_CHROOT_EXECLOG) [N/y/?] <y>Chdir logging (CONFIG_GRKERNSEC_AUDIT_CHDIR) [N/y/?] <Enter>(Un) Mount logging (CONFIG_GRKERNSEC_AUDIT_MOUNT) [N/y/?] <Enter>IPC logging (CONFIG_GRKERNSEC_AUDIT_]:PC) [N/y/?] <y>Ptrace logging (CONFIG_GRKERNSEC_AUDIT_PTRACE) [N/y/?] <y>Signal logging (CONFIG_GRKERNSEC_SIGNAL) [N/y/?] <y>Fork failure logging (CONFIG_GRKERNSEC_FORKFAIL) [N/y/?] <y>Set*id logging (CONFIG_GRKERNSEC_SUID) [N/y/?] <Enter>Log set*ids to root (CONFIG_GRKERNSEC_SUID_ROOT) [N/y/?] <y>Time change logging (CONFIG_GRKERNSEC_TIME) [N/y/?] <y>Эти опции позволяют установить разумный компромисс между объемом и информативностью файлов регистрации, создаваемых системой.** Executable Protections*Exec process limiting (CONFIG_GRKERNSEC_EXECVE) [N/y/?] <y>Эта опция позволяет установить ограничения на использование ресурсов для определенной группы пользователей.Dmesg(8) restriction (CONFIG_GRKERNSEC_DMESG) [N/y/?] <y>Эта опция позволяет установить запрет на просмотр непривилегированными пользователями последних 4кБайт сообщений в буфере регистрационного файла ядра.Randomized PIDs (CONFIG_GRKERNSEC_RANDPID) [N/y/?] <y>Эта опция включает поддержку псевдослучайных значений идентификаторов процессов, что затрудняетпрогнозирование хакерами указанных значений для демонов, функционирующих в системе.Altered default IPC permissions (CONFIG_GRKERNSEC_IPC) [N/y/?] <Enter>Эта опция нарушает работу популярных приложений, например, сервера Apache.Limit uid/gid changes to root (CONFIG_GRKERNSEC_TTYROOT) [N/y/?] <y>Эта опция ограничивает доступ непривилегированных пользователей к учетной записи суперпользователяroot.Deny physical consoles (tty) (CONFIG_GRKERNSEC_TTYROOT_PHYS) [N/y/?] <Enter>Эта опция позволяет установить запрет доступа суперпользователя root c физических консолей.Deny serial consoles (ttyS) (CONFIG_GRKERNSEC_TTYROOT_SERIAL) [N/y/?] <y>Эта опция позволяет установить запрет доступа суперпользователя root c консолей ttyS.
В настоящеевремя этот вариант доступа к системе практически не используется.94Часть 1. Инсталляция операционной системы Linux на сервереDeny pseudo consoles (pty) (CONFIG_GRKERNSEC_TTYROOT_PSEUDO) [N/y/?] <Enter>Эта опция позволяет установить запрет доступа суперпользователя root c псевдоконсолей (pty) в системе.Это необходимо для удаленного администрирования системы, например, с использованием SSH.Fork-bomb protection (CONFIG_GRKERNSEC_FORKBOMB) [N/y/?] <y>Эта опция Grsecurity позволяет выбрать различные варианты защиты системы от атак, основанных на инициализации ветвления процессов.GID for restricted users (CONFIG_GRKERNSEC_FORKBOMB_GID) [1006] <Enter>Эта опция устанавливает значения идентификатора группы пользователей ("не доверенной группы"), длякоторой вводятся ниже рассматриваемые ограничения.
Значение 1006 задается по умолчанию.Forks allowed per second (CONFIG_GRKERNSEC_FORKBOMB_SEC) [40] <Enter>Эта опция задает максимально допустимое количество ветвлений пользовательского процесса в секунду.Maximum processes allowed (CONFIG_GRKERNSEC_FORKBOMB_MAX) [20] 33Здесь задается максимальное число процессов, которое может быть запущено пользователем из "не доверенной группы".ЗАМЕЧАНИЕ Введенное здесь значение максимального количества процессов должно совпадать созначением в файле /etc/security/limit.conf.Trusted path execution (CONFIG_GRKERNSEC_TPE) [N/y/?] <y>Эта опция позволяет ввести дополнительные ограничения на путь к программам, которые могут выполнятьпользователи из "не доверенной группы".
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
