تم إعداد تجميعات المشروع
رئيسي
- التثبيت على 4 أقسام "/" و"/boot" و"/var" و"/home". يتم تثبيت الأقسام "/" و"/boot" في وضع القراءة فقط، ويتم تثبيت "/home" و"/var" في وضع noexec؛
- تصحيح النواة CONFIG_SETCAP. يمكن لوحدة setcap تعطيل إمكانات النظام المحددة أو تمكينها لجميع المستخدمين. يتم تكوين الوحدة بواسطة المستخدم المتميز أثناء تشغيل النظام من خلال واجهة sysctl أو ملفات /proc/sys/setcap ويمكن تجميدها من إجراء التغييرات حتى إعادة التشغيل التالية.
في الوضع العادي، يتم تعطيل CAP_CHOWN(0)، وCAP_DAC_OVERRIDE(1)، وCAP_DAC_READ_SEARCH(2)، وCAP_FOWNER(3)، و21(CAP_SYS_ADMIN) في النظام. يتم إرجاع النظام إلى حالته الطبيعية باستخدام الأمر tinyware-beforeadmin (التثبيت والإمكانات). استنادًا إلى الوحدة، يمكنك تطوير أداة ربط المستويات الآمنة. - التصحيح الأساسي PROC_RESTRICT_ACCESS. يحد هذا الخيار من الوصول إلى مجلدات /proc/pid في نظام الملفات /proc من 555 إلى 750، بينما يتم تعيين مجموعة كافة الدلائل إلى الجذر. ولذلك، يرى المستخدمون عملياتهم فقط باستخدام الأمر "ps". لا يزال الجذر يرى جميع العمليات في النظام.
- CONFIG_FS_ADVANCED_CHOWN تصحيح النواة للسماح للمستخدمين العاديين بتغيير ملكية الملفات والأدلة الفرعية داخل الدلائل الخاصة بهم.
- بعض التغييرات على الإعدادات الافتراضية (مثل ضبط UMASK على 077).
المصدر: opennet.ru