Особенности работы харденовых систем безопасности на Linux включают:

• Минимизацию поверхности атаки. 1 Это означает снижение количества потенциальных уязвимостей, которые могут использовать злоумышленники. 1 Для этого отключают ненужные сервисы, удаляют ненужные пакеты программ, ограничивают доступ и разрешения пользователей, а также доступ к системе через сеть. 1
• Регулярную установку патчей и обновлений безопасности. 14 Патчи устраняют известные уязвимости и ошибки, которые могут быть использованы в атаке. 1 Важно, чтобы были актуальны как ядро, так и программные приложения. 1
• Принципы наименьших привилегий (least privilege). 14 Пользователям и процессам предоставляют минимальный уровень доступа, необходимый для выполнения их задач. 1 Например, вместо того чтобы запускать службу с привилегиями root, администраторы настраивают её на запуск с ограниченным набором разрешений. 1
• Использование механизмов защиты ядра. 2 В ОС Linux для защиты от атак на разграничение доступа и эксплуатацию уязвимостей используют, например, LSM-фреймворк (механизм перехвата системных функций), KASLR (рандомизация адресного пространства ядра), HW-Vuln (митигации и патчи против аппаратных уязвимостей) и параметризацию сборки и запуска ядра. 2