>> Можно, но зачем, есть же настоящие средства защиты, которые прикроют реальные векторы
>> атак, а не ту ерунду, о которой почему-то Поттеринг печётся.
> Ну как, урезания ненужных сисколов программам, допустим - уменьшение attack surface, при
> том на ядерной стороне, достаточно полезно на вид. И даже если
> не перекроет вектора атак, может минимизировать последствия и урон. И одно
> другому не мешает - чем больше уровней защиты, тем больше хакеры
> задолбаются и наследят и меньше вероятность что они сделают именно то
> что планировали."На вид". Это заблуждение произрастает из непонимания специфики работы хакера. В 99.99% случаев компания, которую ты защищаешь -- не представляет из себя настолько значительного интереса, чтобы хакер ей занимался настолько глубоко, чтобы наткнуться на этот уровень обороны.
95% векторов атак перекрываются банальным фаерволом, SSL-ем, своевременными обновлениями и грамотно выстроенными процессами тестирования. Еще примерно 4.9% векторов атак (субъективно) прикрываются прямыми руками опса -- например тем, что ты redis наружу торчать не поставишь и т.п. вещами, следующими из понимания специфики работы софта и его сильных/слабых сторон.
А урезание сисколлов... Ну крайне сомнительный инструмент во многих отношениях. Никто, зачастую даже разработчики сами не знают списка нужных сисколлов. Чтобы его составить надо целое исследование произвести. Это дорого, трудозатратно, и к тому же при выпуске новой версии софта может быть уже не валидно. К тому же, простая изоляция через контейнер/чрут в общем-то реализуется проще, а прикрывает дыр нехило так.
И прошу заметить, что я не говорю о том, что это бесполезно. Вполне возможно, что существует где-нибудь в мире компания, которая заморочится подобными средствами защиты. Однако надо помнить, что у внедрении любых технологий есть цена. Вы взвешиваете, какую цену заплатите, какие преимущества получите, и какие риски при этом возникнут. И у механизма урезния syscall-ов эта цена великовата. Аналогично и про другие защитные механизмы systemd можно сказать.
