forum.opennet.ru

"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Аноним (250), 03-Фев-23, 15:39
>> ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям. > Каким образом делать такую проверку, там не написано. Популярные варианты дающие примерно тот-же результат: 1. Соблюдение правила: "что исполняется не должно изменятся, а что изменяется не должно исполнятся", при разбиении дисков: https://www.opennet.ru/openforum/vsluhforumID3/129586.html#247 2. Патчить DAC в ядре Linux чтобы он поддерживал "исполнение по доверительному пути" (имеется ввиду именно это решение) 3. Integrity - политика запрещаются исполнение неподписаных файлов. 4. MAC - политика запрещаются запуск файлов с мест доступных на запись. 5. ... Ваш вариант. Вот общая оценка безопасности системы: https://www.opennet.ru/openforum/vsluhforumID3/129586.html#248
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux, opennews, 24-Янв-23, 11:56 [смотреть все]

PS Некоторые опции ядра требуют включения отладочных функций, что может только у, pavlinux, 24-Янв-23, 11:56 (1) //
- Безопасность кого надо безопасность , ФСТЭК, 24-Янв-23, 12:11 (13)
- eBPF - это не отладочные функции И они как раз для rootа доступны Но если у ва, Аноним, 24-Янв-23, 13:26 (55) //
  - https www opennet ru opennews art shtml num 54932Рут в виртуалке - не хозяин с, pavlinux, 24-Янв-23, 14:51 (98) //
    - 1 где там утверждается, что ebpf - это отладочные функции 2 ebpf обычно требу, Аноним, 24-Янв-23, 19:58 (160)
      - А где я утверждал, что eBPF - это только отладка , pavlinux, 25-Янв-23, 12:06 (204)
    - Можно ли написать кодогенератор на rust в безопасном режиме Там бы значительная , Аноним, 25-Янв-23, 09:29 (201)
Зачем , Zenitur, 24-Янв-23, 11:57 (2) //
- Наверное, поощряется использование полной виртуализации для запуска недоверенных, Аноним, 24-Янв-23, 13:02 (46) //
  - iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbol, Аноним, 24-Янв-23, 13:34 (62) //
    - А заодно и от левых попыток железок делать с DMA что-то не то Какая-нибудь PCI , Аноним, 24-Янв-23, 15:05 (104)
  - Как я понимаю iommu разрешает железу менять только разрешенные части оперативной, Аноним, 24-Янв-23, 13:37 (63) //
    - Всем спасибо за ответы Когда-то в 2013 году я целенаправленно искал материнскую, Zenitur, 24-Янв-23, 13:48 (65)
      - Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное , Аноним, 24-Янв-23, 13:58 (68)
        
        Тогда зачем знак в названии сокета Я помню, что AM2 подразумевал, что в него, Zenitur, 24-Янв-23, 14:05 (74)
        
        Только маркетинг, ничего личного , Аноним, 24-Янв-23, 15:07 (106)
        означает, что поддерживаются дополнительные функции по сравнению с версией без, Аноним, 24-Янв-23, 15:47 (118)
        Если крайне упрощённо, AM3 8212 это для FX ов И да, та же история, можно вс, Аноним, 24-Янв-23, 15:54 (119)
      - А зачем Топовые камни там вроде бы должны игры тянуть Главное память разогнать, Аноним, 24-Янв-23, 22:26 (168)
      - Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, поч, Аноним, 25-Янв-23, 02:26 (192)
        
        А что за патч , Zenitur, 25-Янв-23, 08:15 (199)
        
        Патч решающий проблемы низкой производительности при включённой опции amd nested, Аноним, 25-Янв-23, 21:29 (216)
        
        220 ватт TDP 8230 Звучит, как наличие титула, собственного замка и герба с Печ, Аноним, 26-Янв-23, 19:50 (230)
        
        Крематория, не герба , Аноним, 27-Янв-23, 19:14 (235)
- Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает к, Аноним, 24-Янв-23, 15:01 (103) //
  - Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k D, Michael Shigorin, 26-Янв-23, 01:18 (222) //
    - В ночное Извините , Аноним, 26-Янв-23, 19:30 (228)
    - Михаил, а как в Симплии сделать снимок экрана с меню Пуск с двумя пунктами поч, Аноним, 26-Янв-23, 19:33 (229)
Семь страниц это не серьёзно для гос организации Это даже прочитать можно , Аноним, 24-Янв-23, 11:57 (3) //
- И пидиэф кстати 404 404 не запрещено тут писать - а то ведь полит подтекст , Аноним, 24-Янв-23, 11:58 (4) //
  - По первой ссылке переходите, а ссылка на пдф реально битая, Schwonder Reismus, 24-Янв-23, 12:04 (7)
  - Не только PDF, но теперь и страница с ним Даже в веб-архиве нет пдфки а вот ст, Аноним, 24-Янв-23, 12:06 (8) //
    - Ага Ссылка в новости устарела А вот новость на сайте ФСТЭК по другой ссылке в, Аноним, 24-Янв-23, 12:09 (10)
  - а попробуй скажи что-нибудь без полит подтекста, Аноним, 24-Янв-23, 12:58 (44) //
    - Даже молчание и отсутствие являются признаками бунта , Аноним, 25-Янв-23, 20:23 (210)
  - Полит подтекст - 451 А 404 - это просто 404 , Аноним, 24-Янв-23, 13:23 (53) //
    - ну не скажи, руководители паблика 404 уже седят , fi, 24-Янв-23, 14:31 (94)
- А это не для того чтобы за это наказывать, а чтобы реально работало , Аноним, 24-Янв-23, 12:08 (9) //
  - Сейчас ещё окажется что это не публикация, а внутренняя утечка , Аноним, 24-Янв-23, 12:10 (11) //
    - Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотруднико, Бывалый смузихлёб, 24-Янв-23, 13:27 (56)
      - Ну чтож пришло время и тебе узнать правду Они не только 10-15 лет нанимали студ, Аноним, 24-Янв-23, 14:29 (91)
        
        Более того это повсеместная практика , Аноним, 24-Янв-23, 15:15 (108)
        Вопрос не в том, что всегда, а в том, что массово Там реально списки пускали те, Бывалый смузихлёб, 24-Янв-23, 15:25 (112)
        
        Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую , Аноним, 24-Янв-23, 17:39 (144)
- Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто , Бывалый смузихлёб, 24-Янв-23, 13:25 (54) //
  - Про sudo, кстати, это же вообще свежачок CVE-2023-22809 Как они могли знать , X86, 24-Янв-23, 14:05 (76) //
    - ToDo с анонимов тутошных собирают, Деанон, 24-Янв-23, 17:06 (132)
    - Так это не то sudo, про него много у кого соображения были вида подальше-подаль, Michael Shigorin, 26-Янв-23, 01:22 (223)
      - Все правильно chown root wheel bin suchmod o-rwxst bin suusermod -a -G wheel a, Аноним, 03-Фев-23, 14:11 (244)
если убрать системд то половину этих пунктов можно не читать, ГруднаяЖаба, 24-Янв-23, 11:59 (5) //
- Любители девуана вообще читать не умеют , Аноним, 24-Янв-23, 12:03 (6)
Всё это конечно безумно интересно, но где же всё-таки отечественный windows Вот , КО, 24-Янв-23, 12:10 (12) //
- Не потому что линукс опенсорс, а венда нет , Аноним, 24-Янв-23, 12:13 (15)
- А где финский или например австралийский , Аноним, 24-Янв-23, 12:14 (16) //
  - Вы ещё спросите, где финские или австралийские процессоры , Аноним, 24-Янв-23, 14:00 (70) //
    - У меня тут такой вопрос резко возник А где финские или австралийские процессоры, Аноним, 24-Янв-23, 14:31 (93)
      - У финнов ещё и легкового автопрома нет, вот где днище-то В то время, как мы тут, Аноним, 24-Янв-23, 16:21 (125)
        
        Ну похоже перегнали, а кто-то не верил , Аноним, 24-Янв-23, 17:40 (145)
        А тут внезапнор и шведы продали китайцам свой автопром Заговор , Аноним, 24-Янв-23, 21:38 (165)
- Не осилили, Анонемистик, 24-Янв-23, 12:20 (21)
- QP OS, Аноним, 24-Янв-23, 12:32 (28)
- На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить , Аноним, 24-Янв-23, 13:05 (48)
- Тут доступно объяснилиhttps olegmakarenko ru 2618158 html, Kol, 24-Янв-23, 13:30 (58)
- Ляликс теперь Русский виндовс , считай официально Даже взять исходники Андрои, Kuromi, 24-Янв-23, 14:02 (72) //
  - гугл ещё проще сделал взял исходники Андроид и не переименовывал даже , Аноним, 24-Янв-23, 17:12 (134)
  - Анонимный эксперт может лично взять взять исходники Андроид и переменовать и с, Аноним, 24-Янв-23, 17:47 (146) //
    - gt оверквотинг удален Но ведь очевидно же что Firebase Notifications - не нужн, Kuromi, 25-Янв-23, 00:02 (181)
- Зачем она тов майору В доточку с ксиком играть Жри со швитым забугорным и не о, Ананий, 25-Янв-23, 10:48 (202)
Гм Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили , ryoken, 24-Янв-23, 12:13 (14) //
- Зато безопасно , Аноним, 24-Янв-23, 12:14 (17)
- У меня ртфка вообще в вайновском вордпад открывается и не жужжу XD, Попандопала, 24-Янв-23, 12:32 (30)
Семь страничек Смешно Рекомендации от CIS Center for Internet Security едва , Аноним, 24-Янв-23, 12:15 (18) //
- Я сделяль с ФСТЭК, Аноним, 24-Янв-23, 12:20 (20)
- При этом там 90 воды, а в оставшемся бо 769 льшую часть занимают примеры Было , PnD, 24-Янв-23, 12:28 (24)
- 7 страниц рили можно осилить,а за 700 платить придется в поддержку , Попандопала, 24-Янв-23, 12:28 (25)
- так там selinux, а на кой хрен он нужен как и его аналоги , anonfdfd4, 24-Янв-23, 12:36 (34) //
  - Как всегда местным экспертам ничего не нужно, они и так самые умные , Аноним, 24-Янв-23, 12:51 (40) //
    - selinux и в правду не нужен, Аноним, 24-Янв-23, 14:01 (71)
- PCI DSS 4 0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, компл, Аноним, 24-Янв-23, 12:52 (41) //
  - Вот PDFка, если что, наслаждайтесь https disk yandex ru i cVWSH1QvQCeSfQ, Аноним, 24-Янв-23, 12:54 (42) //
    - Спасибо за pdf Однако нормально загрузить не получилось Yandex disk - такая от, Аноним, 24-Янв-23, 22:36 (169)
- Думал было написать Ваш комментарий слишком краток Но давайте попробую менее с, Michael Shigorin, 26-Янв-23, 01:27 (224) //
  - Михаил, по CNews можно предположить https importfree cnews ru news top 2023-0, Аноним, 26-Янв-23, 20:04 (231)
Интересно, спасибо , Иваня, 24-Янв-23, 12:19 (19)
Проще Альторосу поставить и колупаться не надо D, Попандопала, 24-Янв-23, 12:27 (23) //
- Там 86 клавиш, Аноним, 25-Янв-23, 20:33 (211)
Где пункты удалить systemd и собрать ядро без поддержки Rust Опять иксперто, Hanyuu, 24-Янв-23, 12:29 (26) //
- Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду Rust в яд, Аноним, 24-Янв-23, 12:41 (36)
- Для кого тогда написали , fuggy, 24-Янв-23, 19:05 (157) //
  - Вопрос правильный, хотя и задан некорректно Правильный вопрос - зачем писать со, Валерий, 25-Янв-23, 02:11 (191) //
    - Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые па, www2, 25-Янв-23, 06:26 (197)
X Ограничить доступ к proc Так чтобы пользователь или процесс мог видеть то, pashev.ru, 24-Янв-23, 12:32 (29)
а где скрипт vfstek sh, который всё это проверяет не меняет, а просто чекает и , Аноним, 24-Янв-23, 12:33 (31) //
- ишт ты умник 1, anonfdfd4, 24-Янв-23, 12:37 (35)
- Это за деньги , Аноним, 24-Янв-23, 12:50 (39)
- cat boot config-6 0 0-6-amd64 124 grep -P CONFIG_ INIT_ON_ALLOC_DEFAULT_ON , Аноним, 24-Янв-23, 13:07 (50) //
  - useless use of cat, швондер, 27-Янв-23, 20:25 (236)
- Он ещё и отчёт должен сам отправлять , Аноним, 24-Янв-23, 13:08 (51)
- Запускать этот скрипт будут специально аффилированные компании , SubGun, 24-Янв-23, 21:36 (163)
- Проверяющий скрипт https www opennet ru openforum vsluhforumID3 129586 html 24, Аноним, 03-Фев-23, 15:47 (251)
Вроде бы адекватные рекомендации, правда я не все из них понимаю , Аноним, 24-Янв-23, 12:47 (38) //
- Очень полезно иметь такой список когда новый сервер запускаешь На работе даже па, Аноним, 24-Янв-23, 12:57 (43) //
  - Тут надо не список иметь, а бить по рукам за ручную настройку серверов Это зада, Аноним, 24-Янв-23, 14:19 (86) //
    - Ага, осталось всего ничего - нанять еще одного человека, который будет настраива, Аноним, 24-Янв-23, 23:40 (174)
      - Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому пров, Michael Shigorin, 26-Янв-23, 01:30 (225)
        
        по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу, ivan_erohin, 28-Янв-23, 16:37 (241)
    - Пациенты тебя люто ненавидят Следовательно, как врач, ты прав , Валерий, 25-Янв-23, 02:52 (193)
  - Чек-лист при установке не пользуете Рекомендую хотя бы его , Аноним, 24-Янв-23, 23:42 (175)
- Ну, например, вот это правило нужно для ликвидации уязвимости libXpm для все, Аноним, 24-Янв-23, 14:49 (96) //
  - Теперь нельзя выполнять проги из tmp private Как жить дальше , Аноним, 24-Янв-23, 16:38 (127) //
    - Начать питаться на кухне, а не на помойке , Аноним, 24-Янв-23, 17:15 (136)
      - Рекомендация того же порядка, что и noexec , Аноним, 24-Янв-23, 17:31 (142)
        
        А чем noexec плохо , Аноним, 24-Янв-23, 19:05 (158)
      - На помойке будет как раз не tmp private , а 755 root, как вон выше упоминали , Michael Shigorin, 26-Янв-23, 01:31 (226)
  - Каким образом делать такую проверку, там не написано Если файловую систему home, Аноним, 24-Янв-23, 17:31 (143) //
    - Популярные варианты дающие примерно тот-же результат 1 Соблюдение правила что , Аноним, 03-Фев-23, 15:39 (250)
  - и мне нельзя запускать свои же скрипты из bin и local bin и tor browser не, ivan_erohin, 25-Янв-23, 04:53 (194)
Безо сферическая в вакууме , mos87, 24-Янв-23, 13:01 (45)
Как бы за щоо , однакоhttps www kernel org doc html latest admin-guide hw-vul, Аноним, 24-Янв-23, 13:02 (47) //
- Дефолты имеют свойство меняться Иногда без предупреждения , Аноним, 24-Янв-23, 18:13 (150)
О чём это говорит Это говорит о том, что даже в госшарагах на якобы обязательну, Аноним, 24-Янв-23, 13:07 (49) //
- Это говорит о том, что здравомыслие в конечном итоге побеждает , Аноним, 24-Янв-23, 13:10 (52) //
  - Тётка с косой в итоге , Аноним, 25-Янв-23, 20:49 (213)
- Это говорит о том что, там используются много разных дистрибутивов, а обязательн, Атон, 24-Янв-23, 13:43 (64)
- Ну не все компы для офисной работы, разные задачи бывают, просто выставили требо, _kp, 24-Янв-23, 13:51 (66)
ФСТЭК решил заняться тем, чем CERT CISA занимается уже джвадцать лет Ну, чо Л, YetAnotherOnanym, 24-Янв-23, 13:28 (57) //
- Решил опубликовать и решил заняться - это разное , pavlinux, 24-Янв-23, 15:39 (116) //
  - У нас есть такие приборы Но мы вам о них не расскажем , Аноним, 24-Янв-23, 17:19 (139) //
    - Это про Эльбрусы, да , Аноним, 24-Янв-23, 20:17 (161)
      - вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в про, анонна, 24-Янв-23, 21:45 (166)
        
        157УД3 , Аноним, 25-Янв-23, 21:14 (214)
      - Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями , Michael Shigorin, 26-Янв-23, 01:37 (227)
        
        Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами , Аноним, 26-Янв-23, 20:12 (232)
Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекоме, Ку, 24-Янв-23, 13:31 (59) //
- Ну так вперед, к мечте , Аноним, 24-Янв-23, 15:34 (113)
- Луче расскажи какого хрена ты его так до сих и не запилил , Аноним, 24-Янв-23, 18:07 (149) //
  - а че там пилить взял пдф и строчишь echo что то там файл куда сложнее это , анонна, 24-Янв-23, 21:47 (167) //
    - Разве не секретарша для набора полагается , Аноним, 25-Янв-23, 21:15 (215)
- А что тогда будут кушать компании, которые специализируются на запуске этого скр, SubGun, 24-Янв-23, 21:37 (164)
- Скрипт делающий ненужен Не все фичи безопасности в конкретном дистре можно вклю, Аноним, 03-Фев-23, 15:03 (249)
https bugs debian org cgi-bin bugreport cgi bug 928362 - related, Аноним, 24-Янв-23, 13:31 (60)
Astra Linux SE 1 7 3 sbin sshd -T 124 ag -i PermitRootLoginpermitrootlogin w, mos87, 24-Янв-23, 13:33 (61) //
- Астара - хардкорная RBAC операционка, там даже рут - не человек , pavlinux, 24-Янв-23, 15:41 (117) //
  - Ну так, извиняюсь заранее, мандатный доступ , Аноним, 24-Янв-23, 23:47 (176) //
    - Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прап, Аноним, 25-Янв-23, 06:11 (195)
      - они разве не в косынку, mos87, 25-Янв-23, 12:35 (206)
        
        Неправда В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка в зва, Аноним, 27-Янв-23, 20:32 (237)
        Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще не помню что , Аноним, 13-Авг-23, 19:52 (253)
        
        NSFW, mos87, 14-Авг-23, 10:50 (254)
Ограничить использование user namespaces sysctl -w user max_user_namespaces 0, Kuromi, 24-Янв-23, 13:57 (67) //
- А на работу контейнеров этот параметр влияет , Sunderland93, 24-Янв-23, 14:05 (75) //
  - Если контейнер непривилегированный а таких большинство - да, все сломается , Аноним, 24-Янв-23, 14:15 (85)
- 102 7 работает с этим параметром в sysctl conf, Попандопала, 24-Янв-23, 14:09 (79) //
  - Песочница то поди отвалилась , Аноним, 24-Янв-23, 14:11 (82) //
    - Черт ее знает,но убрал на всякий случай этот параметр , Попандопала, 24-Янв-23, 14:30 (92)
- Все браузеры используют как дополнительный уровень в песочницах, да и в целом от, Аноним, 24-Янв-23, 14:10 (81) //
  - Когда делаешь clone CLONE_NEWUSER, наследуются все разрешения, а ограничен, pavlinux, 24-Янв-23, 15:36 (114) //
    - Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить , Аноним, 24-Янв-23, 16:11 (122)
      - В немспейсах уже было нашлось несколько десятков багов, как логических, так и те, Аноним, 24-Янв-23, 16:44 (129)
        
        А где их не было, этих багов Однако, их находят и исправляют К тому же, пример, Аноним, 24-Янв-23, 16:59 (131)
        
        Любезнейший, а где вы видели браузеры в составе цитата государственных и, Аноним, 24-Янв-23, 20:23 (162)
  - Вероятнее всего идею выключить неймспейсы взяли отсюда - https www stigviewer , Kuromi, 25-Янв-23, 00:13 (182) //
    - If containers are in use, this requirement is not applicable , ыы, 25-Янв-23, 21:32 (217)
  - Какие браузеры Тут рекомендация скорее всего для серверов и т п , а не для твое, Аноним, 25-Янв-23, 01:45 (187) //
    - Это чтобы было понятно, как оно используется На серверах без неймспейсов жизни , Аноним, 25-Янв-23, 11:16 (203)
  - Нет, совет в том, чтобы сместить ответственность со случайной прикладной програм, Аноним, 27-Янв-23, 20:47 (240)
- Это отключаемо в браузерах и программах на их движках Webkit, Chromium и т п П, Аноним, 27-Янв-23, 20:40 (239)
Рекомендации по безопасному использованию ПО развиваемого по большей части сотру, Амомин, 24-Янв-23, 14:07 (77) //
- Не надо суда нести свои выдумки По безопасному использованию любого ПО на основ, Аноним, 24-Янв-23, 14:46 (95)
На печатных машинках так проще Разумеется тут не суперпользователь Усложнять жи, Аноним, 24-Янв-23, 14:10 (80) //
- Если Комп без доступа к сети, типа Live системы без сохранения документов Включ, _kp, 24-Янв-23, 14:25 (90) //
  - Требование отключать доступ по SSH напрямую к root вводит в заблуждение Нет ник, Аноним, 24-Янв-23, 18:30 (155) //
    - Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая про, OpenEcho, 25-Янв-23, 01:17 (185)
    - gt оверквотинг удален угадай логин для начала , швондер, 27-Янв-23, 20:38 (238)
  - Ну если про PermitRootLogin prohibit-password , OpenEcho, 25-Янв-23, 01:12 (184) //
    - Можно Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал , _kp, 25-Янв-23, 01:31 (186)
      - У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у стр, OpenEcho, 25-Янв-23, 20:03 (207)
        
        Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то , Аноним, 28-Янв-23, 20:35 (242)
        
        Это gpg или ssh которые Ну так они тоже IV хранят в памяти, и к стати назойливо, OpenEcho, 29-Янв-23, 06:10 (243)
почему это не плейбук для ансибла , Аноним, 24-Янв-23, 14:14 (84) //
- дак сделай Тебе тут никто ничем не обязан , Аноним, 24-Янв-23, 17:19 (140)
Видно толковый человек поработал над написанием документа, что выглядит очень и , Аноним, 24-Янв-23, 14:20 (87) //
- А что странного , Аноним, 24-Янв-23, 14:23 (89) //
  - Ему не понравилось, что дырку с libXpm заткнули этими правилами , Аноним, 24-Янв-23, 14:55 (99)
init_on_free 1slub_debug FZpage_alloc shuffle 1vm mmap_rnd_bits 32vm mmap_rnd_co, pavlinux, 24-Янв-23, 15:58 (120)
В целом советы полезные, ноТак разве не везде на bin usr bin стоит только чтен, fuggy, 24-Янв-23, 16:39 (128) //
- Открой недавнюю тему про libXpm поймёшь, про что речь , Аноним, 24-Янв-23, 17:16 (137) //
  - Я зря xterm удалял , Попандопала, 24-Янв-23, 17:53 (148)
- Уточните что именно прочее mitigations auto включает смягчение всех известных у, Аноним, 24-Янв-23, 22:46 (170) //
  - Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у н, Аноним, 25-Янв-23, 06:24 (196) //
    - Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим н, Аноним, 25-Янв-23, 07:25 (198)
      - И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на си, Аноним, 25-Янв-23, 09:15 (200)
    - После патчей от Spectre, Meltdown, Retbleed и т п , гыпертрединг бесполезен , pavlinux, 25-Янв-23, 12:19 (205)
Самое главное забыли apt install safe-rm А вообще советую ещё монтировать хомяк, Аноним, 24-Янв-23, 17:21 (141) //
- 100500 , Аноним, 24-Янв-23, 19:22 (159)
- home, proc, sys, tmp, var, - nodev,noexec,nosuid,rw dev - noexec,nosuid, Аноним, 03-Фев-23, 14:34 (247)
А скрипт делающий это всё не выпустили -__-, FreeStyler, 24-Янв-23, 18:16 (151) //
- Но ведь ты исправишь эту оплошность , Аноним, 24-Янв-23, 18:27 (154)
- Все это уже давно применяется в дистрибутивах , Аноним, 24-Янв-23, 23:14 (173)
- Есть скрипты для проверки Lynis, https en wikipedia org wiki Lynishttps h, Аноним, 03-Фев-23, 14:39 (248)
Странно, усё так завинченно, а про банальный proc proc proc nodev,noexec,, OpenEcho, 25-Янв-23, 00:47 (183) //
- https wiki debian org Hardening Runtime_hardening с systemd плохо сочетается , Аноним, 25-Янв-23, 01:54 (188) //
  - А мне прикольнуло,как у бздунов прям D , Попандопала, 25-Янв-23, 02:01 (189)
  - Очевидно, что сначала надо от системды избавиться , Аноним, 25-Янв-23, 02:09 (190)
  - Да маковка о которой я хотел сказать - это hidepid 2который скрывет показ не сво, OpenEcho, 25-Янв-23, 20:07 (208) //
    - Именно об hidepid 2 и речь Или ты только в fstab это прописал и думаешь, что у , Аноним, 26-Янв-23, 00:10 (219)
      - А ты уверен, что до конца прочитал мой предыдущий пост , OpenEcho, 26-Янв-23, 00:30 (220)
- YAMA даст больше защиты процессов , Аноним, 03-Фев-23, 14:21 (245) //
  - Хотя hidepid 2 у меня тоже стоит , Аноним, 03-Фев-23, 14:23 (246)
Кто забыл, и кому нужен скрипт для генерации конфига Уже лет 5 как Попов замут, pavlinux, 26-Янв-23, 00:52 (221)
KSPP https www kernel org doc html latest security self-protection htmlhttps , Аноним, 04-Фев-23, 17:48 (252)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру