የፕሮጀክት ስብሰባዎች ተዘጋጅተዋል
ዋና
- በ 4 ክፍልፋዮች "/", "/boot", "/var" እና "/home" ላይ መጫን. የ "/" እና "/boot" ክፍልፋዮች በተነባቢ-ብቻ ሁነታ ላይ ተጭነዋል, እና "/ home" እና "/var" በ noexec ሁነታ ላይ ተጭነዋል;
- የከርነል ጠጋኝ CONFIG_SETCAP። የ setcap ሞጁል የተወሰኑ የስርዓት ችሎታዎችን ማሰናከል ወይም ለሁሉም ተጠቃሚዎች ማንቃት ይችላል። ስርዓቱ በ sysctl በይነገጽ ወይም /proc/sys/setcap ፋይሎች ውስጥ እየሄደ እያለ ሞጁሉ በሱፐር ተጠቃሚው የተዋቀረ ነው እና እስከሚቀጥለው ዳግም ማስነሳት ድረስ ለውጦችን ከማድረግ ሊታገድ ይችላል።
በመደበኛ ሁነታ፣ CAP_CHOWN(0)፣ CAP_DAC_OVERRIDE(1)፣ CAP_DAC_READ_SEARCH(2)፣ CAP_FOWNER(3) እና 21(CAP_SYS_ADMIN) በስርዓቱ ውስጥ ተሰናክለዋል። የ tinyware-beforeadmin ትዕዛዝ (የመጫን እና ችሎታዎች) በመጠቀም ስርዓቱ ወደ መደበኛው ሁኔታ ይመለሳል። በሞጁሉ ላይ በመመስረት ደህንነቱ የተጠበቀ ደረጃዎችን ማጎልበት ይችላሉ። - ኮር patch PROC_RESTRICT_ACCESS። ይህ አማራጭ በ / proc ፋይል ስርዓት ውስጥ ከ 555 እስከ 750 ባለው የ / proc / pid ማውጫ ውስጥ ያለውን መዳረሻ ይገድባል ፣ የሁሉም ማውጫዎች ቡድን ለ root ይመደባል ። ስለዚህ, ተጠቃሚዎች ሂደቶቻቸውን በ "ps" ትዕዛዝ ብቻ ነው የሚያዩት. Root አሁንም በስርዓቱ ውስጥ ያሉትን ሁሉንም ሂደቶች ያያል.
- CONFIG_FS_ADVANCED_CHOWN የከርነል መጠገኛ መደበኛ ተጠቃሚዎች በማውጫዎቻቸው ውስጥ ያሉ ፋይሎችን እና ንዑስ ማውጫዎችን ባለቤትነትን እንዲቀይሩ ለማስቻል።
- በነባሪ ቅንጅቶች ላይ አንዳንድ ለውጦች (ለምሳሌ UMASK ወደ 077 ተቀናብሯል)።
ምንጭ: opennet.ru