Linux
Park
Безопасность ядра.
Secure Linux kernel patches от Openwall Project
прекрасный путь предупредить атаки Stack Buffer
Overflows и подобные ей. Этот патч включает
набор дополнительных возможностей
связанных с обеспечением безопасности ядра Linux, которые настраиваются через новую
конфигурационную секцию Security options.
Новые возможности патча
linux-2_2_14-ow2_tar.gz:
- Неисполняемая область стека
пользователя;
- Ограничение использования ссылок в /tmp;
- Ограничение использования FIFO в /tmp;
- Ограничения в /proc;
- Специальные дескрипторы для fd 0,1 и 2
- Усиление RLIMIT_NPROC на execve(2)
- Уничтожение неиспользуемых разделенных
сегментов памяти;
Замечание. Когда вы наложите
патч linux-2_2_14-ow2 в конце конфигурации ядра
будет добавлена секция ?Security options¦. Для
получения большей информации о новых
возможностях читайте в файле README,
поставляемого вместе с исходными кодами
патча.
Применение патча.
[root@deep]# cp linux-2_2_14-ow2_tar.gz /usr/src/
[root@deep]# cd /usr/src/
[root@deep]# tar xzpf linux.2_2_14-ow2_tar.gz
[root@deep]# cd linux-2.2.14-ow2/
[root@deep]# mv linux-2.2.14-ow2.diff /usr/src/
[root@deep]# cd ..
[root@deep]# patch -p0 < linux-2.2.14-ow2.diff
[root@deep]# rm -rf linux-2.2.14-ow2
[root@deep]# rm -f linux-2.2.14-ow2.diff
[root@deep]# rm -f linux-2_2_14-ow2_tar.gz
Первое, мы копируем программный
архив в каталог /usr/src, затем мы перемещаемся
в этот каталог и раскрываем там архив
linux-2_2_14ow2_tar.gz, переходим в раскрытый патч и
перемещаем оттуда файл linux-2.2.14-ow2.diff в /usr/src,
возвращаемся в /usr/src и патчим ядро файлом
linux-2.2.14-ow2.diff. После этого мы удаляем все
файлы, связанные с этим патчем. Замечание.
Все сообщения обеспечения безопасности
связанные с патчем linux- 2.2.14-ow2 должны
фиксироваться в файле /var/log/massage. Стадия
наложения патча на ваше ядро завершена.
Теперь пора вернуться к созданию ядра и
перезагрузке.
ЗАМЕЧАНИЕ ОТ ПЕРЕВОДЧИКА. При
определение опции "Destroy shared memory segments not in
use" в секции "Security options" у меня начала
"ругаться" программа, предназначенная
для работы с UPS, apcupsd. Пришлось эту опцию
отключить.
|