Projeksamestellings is voorberei
Die belangrikste
- Installasie op 4 partisies “/”, “/boot”, “/var” en “/home”. Die "/" en "/boot" partisies is gemonteer in leesalleen-modus, en "/home" en "/var" is in noexec-modus gemonteer;
- Kernelpleister CONFIG_SETCAP. Die setcap-module kan gespesifiseerde stelselvermoëns deaktiveer of dit vir alle gebruikers aktiveer. Die module word deur die supergebruiker gekonfigureer terwyl die stelsel deur die sysctl-koppelvlak of /proc/sys/setcap-lêers loop en kan gevries word van verandering tot die volgende herlaai.
In normale modus is CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) en 21(CAP_SYS_ADMIN) in die stelsel gedeaktiveer. Die stelsel word teruggekeer na sy normale toestand met behulp van die tinyware-beforadmin-opdrag (montering en vermoëns). Op grond van die module kan u die veilige vlakke harnas ontwikkel. - Kernpleister PROC_RESTRICT_ACCESS. Hierdie opsie beperk toegang tot die /proc/pid-gidse in die /proc-lêerstelsel van 555 tot 750, terwyl die groep van alle gidse aan root toegewys is. Daarom sien gebruikers slegs hul prosesse met die "ps"-opdrag. Root sien steeds alle prosesse in die stelsel.
- CONFIG_FS_ADVANCED_CHOWN kernpleister om gereelde gebruikers toe te laat om eienaarskap van lêers en subgidse binne hul dopgehou te verander.
- Sommige veranderinge aan verstekinstellings (bv. UMASK gestel op 077).
Bron: opennet.ru