Глава 6. Безопасность и оптимизация ядра
пользователи из “не доверенной группы”. Далее необходимо ввести идентификатор группы.
Glibc protection (CONFIG_GRKERNSEC_TPE_GLIBC) [N/y/?]
Эта опция позволяет ограничить доступ пользователей из “не доверенной группы” к библиотекам glibc.
Partially restrict non-root users (CONFIG_GRKERNSEC_TPE_ALL) [N/y/?]
Эта опция разрешает обычным, не входящих в группу GID (см. ниже), пользователям выполнять файлы
только в принадлежащих им каталогах.
GID for untrusted users: (CONFIG_GRKERNSEC_TPE_GID) [1005]
Эта опция задает GID группы, к которой не применяются описанные выше три ограничения.
Restricted ptrace (CONFIG_GRKERNSEC_PTRACE) [N/y/?]
Эта опция позволяет разрешить запуск ptrace только суперпользователю root.
Allow ptrace for group (CONFIG_GRKERNSEC_PTRACE_GROUP) [N/y/?]
Эта опция позволяет разрешить запуск программы ptrace пользователям группы c GID=[1005] или другой
указанной группы.
*
*Network Protecions
*
Randomized IP IDs (CONFIG_GRKERNSEC_RANDID) [N/y/?]
Randomized TCP source ports (CONFIG_GRKERNSEC_RANDSRC) [N/y/?]
Randomized RPC XIDs (CONFIG_GRKERNSEC_RANDRPC) [N/y/?]
Altered Ping IDs (CONFIG_GRKERNSEC_RANDPING) [N/y/?]
Randomized TTL (CONFIG_GRKERNSEC_RANDTTL) [N/y/?]
Эти опции включают/отключают поддержку выбора соответствующих числовых параметров, используемых
системой, по случайному закону, что затрудняет прогнозирование поведения системы при попытке ее взло-
ма.
Socket restrictions (CONFIG_GRKERNSEC_SOCKET) [N/y/?]
Эта опция включает/отключает поддержку сетевых соединений, устанавливаемых системой. Необходимо
выбрать один из трех доступных способов введения ограничений на сетевые соединения.
Deny any sockets to group (CONFIG_GRKERNSEC_SOCKET_ALL) [N/y/?]
GID to deny all sockets for: (CONFIG_GRKERNSEC_SOCKET_ALI_GID) [1004]
Эта опция позволяет запретить установку сетевых соединений и запуск серверных приложений с рассматри-
ваемой системы для группы пользователей со значением GID=1004 (задано по умолчанию).
Deny client sockets to group (CONFIG_GRKERNSEC_SOCKET_CLIENT) [N/y/?]
Эта опция позволяют запретить установку сетевых соединений системы для определенной группы пользо-
вателей.
Deny server sockets to group (CONFIG_GRKERNSEC_SOCKET_SERVER) [N/y/?]
Эта опция позволяет запретить запуск с системы серверных приложений для определенной группы пользо-
вателей.
*
*Sysctl support
*
Sysctl support (CONFIG_GRKERNSEC_SYSCTL) [N/y/?]
Эта опция позволяет разрешить изменения параметров настройки Grsecurity без перекомпиляции ядра путем
модификации файла /proc/sys/kernel/grsecurity.
*
* Miscellaneous Features
*
Seconds in between log messages (minimum) (CONFIG GRKERNSEC FLOODTIME)
[30]
Эта опция определяет минимальный интервал времени между сообщениями в файл журнала.
BSD-style coredumps (CONFIG_GRKERNSEC_COREDUMP) [N/y/?]
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37
Метки: Grsecurity, архитектура, загрузчик, ядро