Рекомендованные для включения настройки:
- PrivateTmp=yes - предоставление отдельных директорий со временными файлами.
- ProtectSystem=yes/full/strict - монтирование ФС в режиме только для чтения (в режиме "full" - /etc/, в режиме strict - всех ФС, кроме /dev/, /proc/ и /sys/).
- ProtectHome=yes - запрет доступа к домашним каталогам пользователей.
- PrivateDevices=yes - оставление доступа только к /dev/null, /dev/zero и /dev/random
- ProtectKernelTunables=yes - доступ только в режиме чтения к /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq и т.п.
- ProtectKernelModules=yes - запрет загрузки модулей ядра.
- ProtectKernelLogs=yes - запрет доступа к буферу с логами ядра.
- ProtectControlGroups=yes - доступ только в режиме чтения к /sys/fs/cgroup/
- NoNewPrivileges=yes - запрет повышения привилегий через флаги setuid, setgid и capabilities.
- PrivateNetwork=yes - помещение в отдельное пространство имён сетевого стека.
- ProtectClock=yes - запрет изменения времени.
- ProtectHostname=yes - запрет изменения имени хоста.
- ProtectProc=invisible - скрытие чужих процессов в /proc.
- User= - смена пользователя
Дополнительно может быть рассмотрено включение настроек:
- CapabilityBoundingSet=
- DevicePolicy=closed
- KeyringMode=private
- LockPersonality=yes
- MemoryDenyWriteExecute=yes
- PrivateUsers=yes
- RemoveIPC=yes
- RestrictAddressFamilies=
- RestrictNamespaces=yes
- RestrictRealtime=yes
- RestrictSUIDSGID=yes
- SystemCallFilter=
- SystemCallArchitectures=native
Источник: https://www.opennet.ru/opennews/art.shtml?num=60152
(opennet.ru, мини-новости)