2.4. Настройка механизмов защиты ядра Linux

При настройке механизмов защиты ядра Linux необходимо:

2.4.1. Ограничить доступ к журналу ядра путем установки значения sysctl-опции kernel.dmesg_restrict=1. Журнал ядра должен быть доступен только пользователям, которые обладают разрешением CAP_SYSLOG (администраторы системы).

2.4.2. Заменить ядерные адреса в /proc и других интерфейсах на 0 путем установки значения sysctl-опции kernel.kptr_restrict=2.

2.4.3. Инициализировать динамическую ядерную память нулем при ее выделении путем установки значения опции загрузки ядра init_on_alloc=1. Эта настройка позволяет изменить значение опции сборки ядра CONFIG_INIT_ON_ALLOC_DEFAULT_ON при запуске системы (per boot).

2.4.4. Запретить слияние кэшей ядерного аллокатора путем установки опции загрузки ядра slab_nomerge. Эта настройка позволяет изменить значение опции сборки ядра CONFIG_SLAB_MERGE_DEFAULT при запуске системы (per boot).

2.4.5. Инициализировать механизм IOMMU путем установки значения для следующих опций загрузки ядра:

iommu=force;

iommu.strict=1;

iommu.passthrough=0.

2.4.6. Рандомизировать расположение ядерного стека путем установки значения опции загрузки ядра randomize_kstack_offset=1. Эта настройка позволяет изменить значение опции сборки ядра CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT при запуске системы (per boot).

2.4.7. Включить средства защиты от аппаратных уязвимостей центрального процессора (для платформы x86) путем установки значения опции загрузки ядра mitigations=auto,nosmt.

2.4.8. Включить защиту подсистемы eBPF JIT ядра Linux путем установки значения sysctl-опции net.core.bpf_jit_harden=2.