2.6. Настройка средств защиты пользовательского пространства со стороны ядра Linux

При настройке средств защиты пользовательского пространства со стороны ядра Linux необходимо:

2.6.1. Запретить подключение к другим процессам с помощью ptrace путем установки значения sysctl-опции kernel.yama.ptrace_scope=3.

2.6.2. Ограничить небезопасные варианты прохода по символическим ссылкам (symlinks) путем установки значения sysctl-опции fs.protected_symlinks=1. Данная настройка не влияет на нормальную функциональность userspace и блокирует только вредоносное поведение.

2.6.3. Ограничить небезопасные варианты работы с жесткими ссылками (hardlinks) путем установки значения sysctl-опции fs.protected_hardlinks=1. Данная настройка не влияет на нормальную функциональность userspace и блокирует только вредоносное поведение.

2.6.4. Включить защиту от непреднамеренной записи в FIFO-объект путем установки значения sysctl-опции fs.protected_fifos=2. Данная настройка не влияет на нормальную функциональность userspace и блокирует только вредоносное поведение.

2.6.5. Включить защиту от непреднамеренной записи в файл путем установки значения sysctl-опции fs.protected_regular=2. Данная настройка не влияет на нормальную функциональность userspace и блокирует только вредоносное поведение.

2.6.6. Запретить создание core dump для некоторых исполняемых файлов путем установки значения sysctl-опции fs.suid_dumpable=0. Данная настройка не влияет на нормальную функциональность userspace и блокирует только вредоносное поведение.