|
Использование SSH поверх UNIX-сокета вместо sudo (доп. ссылка 1) |
[комментарии]
|
| Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, [[https://tim.siosm.fr/blog/2023/12/19/ssh-over-unix-socket/ предложил]] заслуживающий внимания способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2) |
[комментарии]
|
| Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Отключение LD_PRELOAD в Linux (доп. ссылка 1) |
[комментарии]
|
| Для блокирования работы переменной окружения LD_PRELOAD, позволяющей принудительно загрузить разделяемую библиотеку со своими обработчиками для функций используемых в программе библиотек, можно использовать следующий скрипт.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Запуск Skype в изолированном окружении Apparmor (доп. ссылка 1) |
[комментарии]
|
| Для защиты от потенциального доступа закрытого приложения Skype к данным других программ можно организовать выполнение Skype в изолированном окружении.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1) |
[комментарии]
|
| Для устранения [[https://www.opennet.ru/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Запрещение загрузки модулей Linux-ядра (доп. ссылка 1) |
[комментарии]
|
| Повысить безопасность серверов и защитить их от внедрения руткитов в системах на базе Linux-ядра младше 2.6.25 (например, CentOS/RHEL 5) можно используя режим Capability Bounding, включаемый через файл /proc/sys/kernel/cap-bound. Capability Bounding действует на все процессы, если какой-то из Capability-режимов запрещен через /proc/sys/kernel/cap-bound, то использовать данную возможность не сможет ни один процесс, независимо от его привилегий. Используя данный режим можно блокировать для пользователя root возможность загрузки модулей ядра, изменения правил пакетного фильтра, использования raw-сокетов, изменения владельца файлов, монтирования разделов и других системных действий.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Создание шифрованного загрузочного LiveUSB c Debian GNU/Linux (доп. ссылка 1) |
[комментарии]
|
| Добавление Loop-AES шифрования к Debian Live.
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1) |
[комментарии]
|
| В будущих версиях RHEL и Fedora Linux появится возможность
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux |
[комментарии]
|
| Устанавливаем пакеты необходимые для сборки системы fprint:
... [Слишком большой объем текста. Скрыт. Для просмотра см. продолжение]
|
|
|
|
|
Изменение атрибутов ext2fs и ext3fs используя chattr (доп. ссылка 1) |
[обсудить]
|
| Команда chattr позволяет изменять параметры ФС для отдельного файла или директории:
chattr +a - только добавление данных (append-only), удаление и переименование запрещено;
chattr +i - запрещено удаление, изменение или переименование (immutable);
chattr +A - запретить сохранение данных о каждом обращении к файлу (no atime)
chattr +S - синхронное изменение всех данных на диск, без кэширования;
chattr +c - файл будет хранится на диске в сжатом виде (нужен отдельный патч для ядра);
chattr +s - после удаления файла, место на диске забивается нулями (внешний патч);
chattr +u - резервирование данных файла после удаления (внешний патч);
Пример:
chattr -R +i /bin /sbin /usr/bin /usr/sbin - запрещаем изменение бинарников
chattr +a /var/log/secure - предотвращаем модификацию лога злоумышленником
Для просмотра расширенных атрибутов используется утилита lsattr.
Для FreeBSD см. man chflags и man security
|
|
|
|
|
Как защитить Linux от некоторых DoS атак. |
[комментарии]
|
| Настройки для увеличения безопасности:
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
/sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
/sbin/sysctl -w net.ipv4.conf.all.log_martians=1
/sbin/sysctl -w net.ipv4.conf.all.rp_filter=1
|
|
|
|
|
|