Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 29
Текст из файла (страница 29)
Далее необходимо ввести идентификатор группы.Glibc protection (CONFIG_GRKERNSEC_TPE_GLIBC) [N/y/?] <y>Эта опция позволяет ограничить доступ пользователей из "не доверенной группы" к библиотекам glibc.Partially restrict non-root users (CONFIG_GRKERNSEC_TPE_ALL) [N/y/?] <y>Эта опция разрешает обычным, не входящих в группу GID (см. ниже), пользователям выполнять файлытолько в принадлежащих им каталогах.GID for untrusted users: (CONFIG_GRKERNSEC_TPE_GID) [1005] <Enter>Эта опция задает GID группы, к которой не применяются описанные выше три ограничения.Restricted ptrace (CONFIG_GRKERNSEC_PTRACE) [N/y/?] <y>Эта опция позволяет разрешить запуск ptrace только суперпользователю root.Allow ptrace for group (CONFIG_GRKERNSEC_PTRACE_GROUP) [N/y/?] <Enter>Эта опция позволяет разрешить запуск программы ptrace пользователям группы c GID=[1005] или другойуказанной группы.**Network Protecions*Randomized IP IDs (CONFIG_GRKERNSEC_RANDID) [N/y/?] <y>Randomized TCP source ports (CONFIG_GRKERNSEC_RANDSRC) [N/y/?] <y>Randomized RPC XIDs (CONFIG_GRKERNSEC_RANDRPC) [N/y/?] <y>Altered Ping IDs (CONFIG_GRKERNSEC_RANDPING) [N/y/?] <y>Randomized TTL (CONFIG_GRKERNSEC_RANDTTL) [N/y/?] <y>Эти опции включают/отключают поддержку выбора соответствующих числовых параметров, используемыхсистемой, по случайному закону, что затрудняет прогнозирование поведения системы при попытке ее взлома.Socket restrictions (CONFIG_GRKERNSEC_SOCKET) [N/y/?] <y>Эта опция включает/отключает поддержку сетевых соединений, устанавливаемых системой.
Необходимовыбрать один из трех доступных способов введения ограничений на сетевые соединения.Deny any sockets to group (CONFIG_GRKERNSEC_SOCKET_ALL) [N/y/?] <y>GID to deny all sockets for: (CONFIG_GRKERNSEC_SOCKET_ALI_GID) [1004]<Enter>Глава 6. Безопасность и оптимизация ядра95Эта опция позволяет запретить установку сетевых соединений и запуск серверных приложений с рассматриваемой системы для группы пользователей со значением GID=1004 (задано по умолчанию).Deny client sockets to group (CONFIG_GRKERNSEC_SOCKET_CLIENT) [N/y/?]<Enter>Эта опция позволяют запретить установку сетевых соединений системы для определенной группы пользователей.Deny server sockets to group (CONFIG_GRKERNSEC_SOCKET_SERVER) [N/y/?]<Enter>Эта опция позволяет запретить запуск с системы серверных приложений для определенной группы пользователей.**Sysctl support*Sysctl support (CONFIG_GRKERNSEC_SYSCTL) [N/y/?] <Enter>Эта опция позволяет разрешить изменения параметров настройки Grsecurity без перекомпиляции ядра путеммодификации файла /proc/sys/kernel/grsecurity.** Miscellaneous Features*Seconds in between log messages (minimum) (CONFIG GRKERNSEC FLOODTIME)[30] <Enter>Эта опция определяет минимальный интервал времени между сообщениями в файл журнала.BSD-style coredumps (CONFIG_GRKERNSEC_COREDUMP) [N/y/?] <y>Эта опция не влияет на безопасность системы, а только позволяет использовать более удобный, на нашвзгляд, BSD-стиль для отображения сообщений coredumps.*** End of Linux kernel configuration.*** Check the top-level Makefile for additional configuration.*** Next, you must run 'make dep'Конфигурация ядра с модульной архитектуройОсуществим конфигурирование ядра с модульной архитектурой для следующей системы:•процессор Pentium-III 600 МГЦ (i686);•системная плата Asus P3V4XPro 133Mhz EIDE;•жесткий диск Ultra ATA/100 EIDE;•микросхемы Apollo Pro 133A;•CD-ROM ATAPI IDE;•дисковод для гибкого диска;•Сетевые карты 3COM 3c597 PCI 10/100;•мышь PS/2.С этой целью выполните следующие действия:[root@drwalbr /]# cd /usr/src/linux-2.4.x/[root@drwalbr linux-2.4.х]# make configrm -f include/asm( cd include ; In -sf asm-i386 asm) /bin/sh scripts/Configurearch/i386/config.in…##Using defaults found in arch/1386/defconfig#**Code maturity level options*Prompt for development and/or incomplete code/drivers(CONFIG_EXPERIMENTAL) [N/y/?] <Enter>**Loadable nodule support:96Часть 1.
Инсталляция операционной системы Linux на сервере*Enable loadable module support (CONFIG_MODULES) [Y/n/?] <Enter>Set version information on all module symbols (CONFIG_MODVERSIONS)[Y/n/?] <n>Kernel module loader (CONFIG_KMOD) [Y/n/?] <Enter>* Processor type and features*Processor family (386, 486, 586/K5/5x86/6x86/6x86MX, Pentium-Classic,Pentium-MMX, Pentium-Pro/Celeron/Pentium-II, PentiumIII/Celeron(Coppermine), Pentium-4, K6/K6-11/K6-III, Athlon/Duron/K7,Elan, Crusoe, Winchip-06, Winchip-2, Winchip-2A/Winchip-3, CyrixIII/C3)[Pentium-III/Celeron(Coppermine)] <Enter>Toshiba Laptop support (CONFIG_TOSHIBA) [N/y/m/?] <Enter>Dell laptop support (CONFIG_18K) [N/y/m/?] <Enter>/dev/cpu/microcode - Intel IA32 CPU microcode support (CONFIG_MICROCODE)[N/y/m/?] <m>/dev/cpu/*/msr - Model-specific register support (CONFIG_X86_MSR)[N/y/m/?] <m>/dev/cpu/*/cpuid - CPU information support (CONFIG_X86_CPUID) [N/y/m/?]<m>High Memory Support (off, 4GB, 64GB) [off] <Enter>Math emulation (CONFIG_MRTH_EMULATION) [N/y/?] <Enter>MTRR (Memory Type Range Register) support (CONFIG_MTRR) [N/y/?] <Enter>Symmetric multi-processing support (CONFIG_SMP) [Y/n/?] <n>Local APIC support on uniprocessors (CONFIG_X86_UP_APIC) [N/y/?] (NEW)<y>IO-APIC support on uniprocessors (CONFIG_X86_UP_IOAPIC) [N/y/?] (NEW) <y>** General setup*Networking support (CONFIG_NET) [Y/n/?] <Enter>PCI support (CONFIG_PCI) [Y/n/?] <Enter>PCI access mode (BIOS, Direct, Any) [Any] <Enter>PCI device name database (CONFIG_PCI_NAMES) [Y/n/?] <n>EISA support (CONFIG_EISA) [N/y/?] <Enter>MCA support (CONFIG_MCA) [N/y/?] <Enter>Support for hot-pluggable devices (CONFIG_HOTPLUG) [Y/n/?] <n>System VIPC (CONFIG_SYSVIPC) [Y/n/?] <Enter>BSD Process Accounting (CONFIG_BSD_PROCESS_ACCT) [N/y/?]<Enter>Sysctl support (CONFIG_SYSCTL) [Y/n/?] <Enter>Kernel core (/proc/kcore) format (ELF, A.OUT) [ELF] <Enter>Kernel support for a.out binaries (CONFIG_BINFMT_AOUT) [Y/m/n/?] <n>Kernel support for ELF binaries (CONFIG_BINFMT_ELF) [Y/m/n/?] <Enter>Kernel support for MISC binaries (CONFIG_BINFMT_MISC) [Y/m/n/?] <m>Power Management support (CONFIG_PM) [Y/n/?] <n>** Memory Technology Devices (MTD)*Memory Technology Device (MTD) support (CONFIG_MTD) [N/y/m/?] <Enter>** Parallel port support*Parallel port support (CONFIG_PARPORT) [N/y/m/?] <Enter>** Plug and Play configuration*Plug and Play support (CONFIG_PNP) [Y/m/n/?] <n>** Block devices*Normal PC floppy disk support (CONFIG_BLK_DEV_FD) [Y/m/n/?] <Enter>XT hard disk support (CONFIG_BLK_DEV_XD) [N/y/m/?] <Enter>Compaq SMART2 support (CONFIG_BLK_CPQ_DA) [N/y/m/?] <Enter>Глава 6.
Безопасность и оптимизация ядра97Compaq Smart Array 5xxx support (CONFIG_BLK_CPQ_CISS_DA) [N/y/m/?] <Enter>Mylex DAC960/DACIIOO PCI RAID Controller support (CONFIG_BLK_DEV_DAC960)[N/y/m/?] <Enter>Loopback device support (CONFIG_BLK_DEV_LOOP) [N/y/m/?] <Enter>Network block device support (CONFIG_BLK_DEV_NBD) [N/y/m/?] <Enter>RAM disk support (CONFIG_BLK_DEV_RAM) [N/y/m/?] <Enter>** Multi-device support (RAID and LVM)*Multiple devices driver support (RAID and LVM) (CONFIG_MD) [N/y/?] <Enter>** Networking options*Packet socket (CONFIG_PACKET) [Y/m/n/?] <Enter>Packet socket: mmapped 10 (CONFIG_PACKET_MMAP) [N/y/?] <y>Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/m/?] (NEW) <m>Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) [N/y/?]<y>Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) [N/y/?] (NEW)<y>Socket Filtering (CONFIG_FILTER) [N/y/?] <Enter>Unix domain sockets (CONFIGJJNIX) [Y/m/n/?] <Enter>TCP/IPnetworking (CONFIG_INET) [Y/n/?] <Enter>IP: multicasting (CONFIG_IP_MULTICAST) [Y/n/?] <n>IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [N/y/?] <Enter>IP: kernel level autoconfiguration (CONFIG_IP_PNP) [N/y/?] <Enter>IP: tunneling (CONFIG_NET_IPIP) [N/y/m/?] <Enter>IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/m/?] <Enter>IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN)[N/y/?] <Enter>IP: TCP syncookie support (disabled default) (CONFIG_SYN_COOKIES) [N/y/?]<y>**IP: Netfilter Configuration*Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK)[N/y/m/?] (NEW) <m>FTP protocol support (CONFIG__IP_NF_FTP) [N/m/?] (NEW) <m>IRC protocol support (CONFIG_IP_NF_IRC) [N/m/?] (NEW) <m>IP tables support (required for filtering/masq/NAT)(CONFIG_IP_NF_IPTABLES) [N/y/m/?] (NEW) <m>limit match support (CONFIG_IP NF_MATCH LIMIT) [N/m/?] (NEW) <m>MAC address match support (CONFIG_IP_NF_MATCH_MAC) [N/m/?] (NEW) <m>netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) [N/m/?] (NEW) <m>Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) [N/m/?] (NEW)<m>TOS match support (CONFIG_IP_NF_MATCH_TOS) [N/m/?] (NEW) <m>AH/ESP match support (CONFIG_IP_NF_MATCH_AH_ESP) [N/m/?] (NEW) <m>LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) [N/m/?] (NEW) <m>TTL match support (CONFIG_IP_NF_MATCH_TTL) [N/m/?] (NEW) <m>tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) [N/m/?] (NEW) <m>Connection state match support (CONFIG_IP_NF_MATCH_STATE) [N/m/?] (NEW)<m>Packet filtering (CONFIG_IP_NF_FILTER) [N/m/?] (NEW) <m>REJECT target support (CONFIG_IP_NF_TARGET_REJECT) [N/m/?] (NEW) <m>Full NAT (CONFIG_IP_NF_NAT) [N/m/?] (NEW) <m>MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) [N/m/?] (NEW)<m>REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) [N/m/?] (NEW) <m>Packet mangling (CONFIG_IP_NF_MANGLE) [N/m/?] (NEW) <m>TOS target support (CONFIG_IP_NF_TARGET_TOS) [N/m/?] (NEW) <m>MARK target support (CONFIG_IP_NF_TARGET_MARK) [N/m/?] (NEW) <m>98Часть 1.
Инсталляция операционной системы Linux на сервереLOG target support (CONFIG_IP_NF_TARGET_LOG) [N/m/?] (NEW) <m>TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) [N/m/?] (NEW) <m>ipchains (2.2-styie) support (CONFIG_IP_NF_COMPAT_IPCHAINS) [N/y/m/?](NEW) <Enter>ipfwadm (2.0-style) support (CONFIG IP NF COMPAT IPFWADM) [N/y/m/?] (NEW)<Enter>***The IPX protocol (CONFIG_IPX) [N/y/m/?] <Enter>Appletalk protocol support (CONFIG_ATALK) [N/y/m/?] <Enter>DECnet Support (CONFIG_DECNET) [N/y/m/?] <Enter> 802.Id Ethernet Bridging(CONFIG_BRIDGE) [N/y/m/?] <Enter>* QoS and/or fair queueingQoS and/or fair queueing (CONFIG_NET_SCHED) [N/y/?] <Enter>** Telephony Support*Linux telephony support (CONFIG_PHONE) [N/y/m/?] <Enter>** ATA/IDE/MEM/RLI.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
