Безопасность и оптимизация Linux.Редакция для Red Hat

Безопасность ядра.


Secure Linux kernel patches от Openwall Project прекрасный путь предупредить атаки Stack Buffer Overflows и подобные ей. Этот патч включает набор дополнительных возможностей связанных с обеспечением безопасности ядра Linux, которые настраиваются через новую конфигурационную секцию '”Security options”.

Новые возможности патча linux-2_2_14-ow2_tar.gz:

    Неисполняемая область стека пользователя;

    Ограничение использования ссылок в /tmp;

    Ограничение использования FIFO в /tmp;

    Ограничения в /proc;

    Специальные дескрипторы для fd 0,1 и 2

    Усиление RLIMIT_NPROC на execve(2)

    Уничтожение неиспользуемых разделенных сегментов памяти;

    Замечание. Когда вы наложите патч linux-2_2_14-ow2 в конце конфигурации ядра будет добавлена секция “Security options”. Для получения большей информации о новых возможностях читайте в файле README, поставляемого вместе с исходными кодами патча.

    Применение патча.
    [root@deep]# cp linux-2_2_14-ow2_tar.gz /usr/src/


    [root@deep]# cd /usr/src/


    [root@deep]# tar xzpf linux.2_2_14-ow2_tar.gz


    [root@deep]# cd linux-2.2.14-ow2/


    [root@deep]# mv linux-2.2.14-ow2.diff /usr/src/


    [root@deep]# cd ..


    [root@deep]# patch -p0 < linux-2.2.14-ow2.diff


    [root@deep]# rm -rf linux-2.2.14-ow2


    [root@deep]# rm -f linux-2.2.14-ow2.diff


    [root@deep]# rm -f linux-2_2_14-ow2_tar.gz

    Первое, мы копируем программный архив в каталог /usr/src, затем мы перемещаемся в этот каталог и раскрываем там архив linux-2_2_14ow2_tar.gz, переходим в раскрытый патч и перемещаем оттуда файл linux-2.2.14-ow2.diff в /usr/src, возвращаемся в /usr/src и патчим ядро файлом linux-2.2.14-ow2.diff. После этого мы удаляем все файлы, связанные с этим патчем. Замечание. Все сообщения обеспечения безопасности связанные с патчем linux- 2.2.14-ow2 должны фиксироваться в файле /var/log/massage. Стадия наложения патча на ваше ядро завершена. Теперь пора вернуться к созданию ядра и перезагрузке.

    ЗАМЕЧАНИЕ ОТ ПЕРЕВОДЧИКА. При определение опции "Destroy shared memory segments not in use" в секции "Security options" у меня начала "ругаться" программа, предназначенная для работы с UPS, apcupsd. Пришлось эту опцию отключить.



    Содержание раздела