Product SiteDocumentation Site

Глава 77. Модуль AltHa

77.1. Запрет бита исполнения (SUID)
77.1.1. Отключение влияния бита SUID на привилегии порождаемого процесса в ЦУС
77.1.2. Отключение влияния бита SUID на привилегии порождаемого процесса в консоли
77.2. Блокировка интерпретаторов (запрет запуска скриптов)
77.2.1. Блокировка интерпретаторов (запрет запуска скриптов) в ЦУС
77.2.2. Блокировка интерпретаторов (запрет запуска скриптов) в консоли
AltHa — это модуль безопасности Linux, который в настоящее время имеет три варианта защиты пользовательского пространства:
  • игнорировать биты SUID в двоичных файлах (возможны исключения);
  • запретить запуск выбранных интерпретаторов в интерактивном режиме;
  • отключить возможность удаления открытых файлов в выбранных каталогах.

Примечание

Для включения модуля AltHa необходимо передать ядру параметр altha=1.
Для этого в файле /etc/sysconfig/grub2 в строке GRUB_CMDLINE_LINUX_DEFAULT следует добавить опцию: altha=1. Например: 
# vim /etc/sysconfig/grub2
...
GRUB_CMDLINE_LINUX_DEFAULT='vga=0x314  quiet resume=/dev/disk/by-uuid/187504b7-7f78-486d-b383-1b638370d3eb panic=30 splash altha=1'
Обновить загрузчик, выполнив команду: 
# update-grub
Перезагрузить систему.
Данную настройку можно также выполнить в модуле Настройка загрузчика GRUB2.

77.1. Запрет бита исполнения (SUID)

При включенном подмодуле altha.nosuid, биты SUID во всех двоичных файлах, кроме явно перечисленных, игнорируются в масштабе всей системы.

77.1.1. Отключение влияния бита SUID на привилегии порождаемого процесса в ЦУС

Для включения запрета бита исполнения необходимо в Центре управления системой перейти в раздел СистемаНастройки безопасности.
В открывшемся окне следует отметить пункт Отключить влияние suid бита на привилегии порождаемого процесса и нажать кнопку Применить:
Отключить влияние suid бита на привилегии порождаемого процесса
Исключения это список включенных двоичных файлов SUID, разделённых двоеточиями.

77.1.2. Отключение влияния бита SUID на привилегии порождаемого процесса в консоли

Для включения запрета бита исполнения следует установить значение переменной kernel.altha.nosuid.enabled равным 1: 
# sysctl -w kernel.altha.nosuid.enabled=1
И добавить, если это необходимо, исключения (список включенных двоичных файлов SUID, разделенных двоеточиями), например: 
# sysctl -w kernel.altha.nosuid.exceptions="/bin/su:/usr/libexec/hasher-priv/hasher-priv"
Проверка состояния режима запрета бита исполнения выполняется командой: 
# sysctl -n kernel.altha.nosuid.enabled
1
Результат выполнения команды:
  • 1 — режим включен;
  • 0 — режим выключен.