n  создание выполняемых страниц анонимной памяти.

n  Address Space Layout Randomization ON – при включении этой опции память будет выделяться программе блоками со случайным смещением в адресном пространстве, и предсказать, где будет находится буфер ввода программы, нельзя, а это в свою очередь приводит к тому, что атаки на переполнение буфера не будут работать.

n  Randomize kernel stack base ON – эта опция заставит ядро использовать случайный ядерный стек для каждой задачи.

n  Randomize user stack base ON – заставляем ядро использовать случайный пользовательский стек для каждой задачи.

n  Randomize mmap() base ON – приказываем использовать случайный базовый адрес запросов mmap(). Системный вызов mmap() служит для передачи обширных массивов данных между процессами и позволяет обращаться к участку файла как к оперативной памяти. Данные, которые процесс читает из указанной области памяти, по мере надобности считываются из файла, а те, которые он туда пишет, когда-нибудь попадут на диск.

n  Randomize ET_EXEC base ON.

n  Deny writing to /dev/kmem, /dev/mem and /dev/port ON – запрет на запись в /dev/kmem, /dev/mem и в /dev/port с помощью mmap() или другими способами изменять параметры ядра.

n  Disable privileged I/O OFF – запрет на использование системных вызовов ioperm и iopl, поскольку они могут применяться для модификации ядра.

n  Remove addresses from /proc/<pid>/[maps|stat] ON – запрет на выдачу информации из /proc/<pid>/[maps|stat].

n  Hide kernel symbols OFF – включение этой опции позволит читать информацию о загруженных модулях только пользователям с установленной «способностью» CAP_SYS_MODULES.

Role Based Access Control Options (Настройка RBAC)

В данном разделе необходимо указать настройки системы RBAC, включая количество неудачных попыток ввода пароля и длину временного интервала, в течение которого аутентификация будет заблокирована, когда количество неудачных попыток превысит установленную величину.

n  Hide kernel processes ON – эта опция добавит дополнительный ACL для ядра, который скроет все ядерные процессы.

n  Maximum tries before password lockout 3 – максимальное число попыток ввода пароля.

n  Time to wait after max password tries, in seconds 30 – время в секундах, на которое будет заблокирована система после последней неудачной попытки ввода пароля.

Filesystem protection (Защита файловой системы)

В этом разделе необходимо определить ограничения файловой системы, включая ограничение /proc, которое позволяет пользователю просматривать только свои процессы, ограничение /tmp и ограничение chroot, что существенно повысит безопасность программ, работающих в chroot-окружении.

n  Proc restriction ON – ограничение файловой системы /proc. Возможно запретить пользователям видеть все процессы, либо разрешить только просмотр своих.

n  Restrict to user only OFF – при включенной опции непривилегированные пользователи смогут видеть только собственные процессы.

n  Allow special group ON – разрешить специальную группу, члены которой смогут просматривать все процессы, сетевую информацию, информацию ядра и модулей.

n  GID for special group 1001.

n  Additional restrictions ON – дополнительные ограничения на /proc, не позволяющие обычным пользователям читать информацию о CPU и о системных устройствах.

n  Linking restrictions ON – защита мягких (soft) и жестких (hard) ссылок.

n  FIFO restrictions ON – пользователи не смогут писать в не принадлежащий им FIFO в доступной всем на запись директории (например, /tmp), за исключением случая, когда владелец FIFO является владельцем директории.