https://www.opennet.ru/openforum/vsluhforumID3/76035.html Повысить безопасность серверов и защитить их от внедрения руткитов в системах на базе Linux-ядра младше 2.6.25 (например, CentOS/RHEL 5) можно используя режим Capability Bounding, включаемый через файл /proc/sys/kernel/cap-bound. Capability Bounding действует на все процессы, если какой-то из Capability-режимов запрещен через /proc/sys/kernel/cap-bound, то использовать данную возможность не сможет ни один процесс, независимо от его привилегий. Используя данный режим можно блокировать для пользователя root возможность загрузки модулей ядра, изменения правил пакетного фильтра, использования raw-сокетов, изменения владельца файлов, монтирования разделов и других системных действий. <br><br><br>Посмотреть текущее состояние режима можно командой:<br><br> cat /proc/sys/kernel/cap-bound<br><br>а для установки нового значения, можно использовать команду:<br><br> echo значение &gt; /proc/sys/kernel/cap-bound<br><br>Значение содержит шестнадцатеричное или десятичное представление битовой маски, кодирующей устанавливаемые флаги.<br><br>Например, https://www.opennet.ru/openforum/vsluhforumID3/76035.html#10 Thu, 07 Apr 2011 08:03:22 GMT &gt;работа сислока децл изменилась<br><br>Кого-кого работа? Сислока?<br><br>Вы хоть немного понимаете смысл слов, которыми пытаетесь оперировать?<br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#9 Tue, 05 Apr 2011 10:28:03 GMT (0xFFFFFFFF & ~0xFFFEFFFF) = 1 &lt;&lt; 16<br><br>от сюда получаем:<br><br>0xFFFFFFFF &#124; (1&lt;&lt;16) = 0xFFFFFFFF &#124; 0xFFFEFFFF<br><br>маска <br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#8 Tue, 05 Apr 2011 05:32:35 GMT он такой, он всем свечку держит<br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#7 Mon, 04 Apr 2011 17:51:18 GMT &gt;немного (или много) изменив работу сисколов и/или системных утилит<br><br>бугога, а User294 будет стоять рядом и гарантировать работу всех остальных честных модулей, которым забыли сказать что работа сислока децл изменилась.<br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#6 Sun, 03 Apr 2011 12:19:24 GMT и в-правду<br><br>echo $((0xFFFEFFFF))<br>4294901759<br><br>echo $((1 &lt;&lt; 16))<br>65536<br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#5 Sun, 03 Apr 2011 09:19:21 GMT &gt; судя по флагам даже ребут можно перехватывать<br><br>В системе с открытыми сорцами вы в принципе можете перехватить все что хотите. Если есть реальное желание - можно очень неслабо доставить хацкерам, немного (или много) изменив работу сисколов и/или системных утилит. Попутно выслав алерт админу, когда ничего не подозревающий хацкер попробует юзать систему "как обычно". А приколитесь, хаксор не сможет например вытереть свои следы в невидимых ему логах. И он не сможет убить невидимые ему процессы ;).<br><br>При этом хаксоры по сути попадут в окружение где УЖЕ запихан руткит. Только вот он играет против них, на стороне админа. Вышибить клин клином в общем то вполне валидный подход. Кто первый встал, того и тапки. У админа в этом плане есть некое преимущество :)<br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#4 Sun, 03 Apr 2011 06:21:44 GMT либо я что-то не понимаю, но<br>(1 &lt;&lt; 16) != 0xFFFEFFFF<br><br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#3 Sun, 03 Apr 2011 04:37:37 GMT как-бы в новости написано, что после установки флага его нельзя сбросить (можно только дальше ставить ограничения).<br><br>в целом можно отследить откуда ставятся привилегии и ребутнуть (судя по флагам даже ребут можно перехватывать) некоторым особым образом.<br><br>но в целом согласен - система только для ловли попыток нсд.<br> https://www.opennet.ru/openforum/vsluhforumID3/76035.html#2 Sun, 03 Apr 2011 00:31:54 GMT Что мешает злопыхателю или гадкому процессу изменить значения, если есть рут? А если его нет, то модули не получится загрузить в любом случае.<br>Тем более ядра 2.6.25 - редкая древность.<br>Единственная надежда, что хаксор не знает о такой возможности. Но при наличии рута можно много лазеек в системе оставить и без модулей. Это все с точки зрения проникновения, но других причин для такой предосторожности не вижу.<br>