Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

n  создание выполняемых страниц анонимной памяти.

n  Address Space Layout Randomization ON – при включении этой опции память будет выделяться программе блоками со случайным смещением в адресном пространстве, и предсказать, где будет находится буфер ввода программы, нельзя, а это в свою очередь приводит к тому, что атаки на переполнение буфера не будут работать.

n  Randomize kernel stack base ON – эта опция заставит ядро использовать случайный ядерный стек для каждой задачи.

n  Randomize user stack base ON – заставляем ядро использовать случайный пользовательский стек для каждой задачи.

n  Randomize mmap() base ON – приказываем использовать случайный базовый адрес запросов mmap(). Системный вызов mmap() служит для передачи обширных массивов данных между процессами и позволяет обращаться к участку файла как к оперативной памяти. Данные, которые процесс читает из указанной области памяти, по мере надобности считываются из файла, а те, которые он туда пишет, когда-нибудь попадут на диск.

n  Randomize ET_EXEC base ON.

n  Deny writing to /dev/kmem, /dev/mem and /dev/port ON – запрет на запись в /dev/kmem, /dev/mem и в /dev/port с помощью mmap() или другими способами изменять параметры ядра.

n  Disable privileged I/O OFF – запрет на использование системных вызовов ioperm и iopl, поскольку они могут применяться для модификации ядра.

n  Remove addresses from /proc/<pid>/[maps|stat] ON – запрет на выдачу информации из /proc/<pid>/[maps|stat].

n  Hide kernel symbols OFF – включение этой опции позволит читать информацию о загруженных модулях только пользователям с установленной «способностью» CAP_SYS_MODULES.

Role Based Access Control Options (Настройка RBAC)

В данном разделе необходимо указать настройки системы RBAC, включая количество неудачных попыток ввода пароля и длину временного интервала, в течение которого аутентификация будет заблокирована, когда количество неудачных попыток превысит установленную величину.

n  Hide kernel processes ON – эта опция добавит дополнительный ACL для ядра, который скроет все ядерные процессы.

n  Maximum tries before password lockout 3 – максимальное число попыток ввода пароля.

n  Time to wait after max password tries, in seconds 30 – время в секундах, на которое будет заблокирована система после последней неудачной попытки ввода пароля.

Filesystem protection (Защита файловой системы)

В этом разделе необходимо определить ограничения файловой системы, включая ограничение /proc, которое позволяет пользователю просматривать только свои процессы, ограничение /tmp и ограничение chroot, что существенно повысит безопасность программ, работающих в chroot-окружении.

n  Proc restriction ON – ограничение файловой системы /proc. Возможно запретить пользователям видеть все процессы, либо разрешить только просмотр своих.

n  Restrict to user only OFF – при включенной опции непривилегированные пользователи смогут видеть только собственные процессы.

n  Allow special group ON – разрешить специальную группу, члены которой смогут просматривать все процессы, сетевую информацию, информацию ядра и модулей.

n  GID for special group 1001.

n  Additional restrictions ON – дополнительные ограничения на /proc, не позволяющие обычным пользователям читать информацию о CPU и о системных устройствах.

n  Linking restrictions ON – защита мягких (soft) и жестких (hard) ссылок.

n  FIFO restrictions ON – пользователи не смогут писать в не принадлежащий им FIFO в доступной всем на запись директории (например, /tmp), за исключением случая, когда владелец FIFO является владельцем директории.


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160]
[161]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2016 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100