Layihə məclisləri hazırlanmışdır
Əsas
- 4 “/”, “/boot”, “/var” və “/home” bölmələrində quraşdırma. “/” və “/boot” bölmələri yalnız oxumaq üçün rejimdə, “/home” və “/var” isə noexec rejimində quraşdırılmışdır;
- Kernel patch CONFIG_SETCAP. Setcap modulu müəyyən edilmiş sistem imkanlarını söndürə və ya bütün istifadəçilər üçün aktivləşdirə bilər. Sistem sysctl interfeysi və ya /proc/sys/setcap faylları vasitəsilə işləyərkən modul superuser tərəfindən konfiqurasiya edilir və növbəti yenidən işə salınana qədər dəyişiklik etməkdən dondurula bilər.
Normal rejimdə CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) və 21(CAP_SYS_ADMIN) sistemdə qeyri-aktivdir. Tinyware-beforeadmin əmrindən (quraşdırma və imkanlar) istifadə edərək sistem normal vəziyyətinə qaytarılır. Modula əsaslanaraq, siz təhlükəsiz səviyyə qoşqularını inkişaf etdirə bilərsiniz. - Əsas yamaq PROC_RESTRICT_ACCESS. Bu seçim /proc fayl sistemindəki /proc/pid qovluqlarına girişi 555-dən 750-ə qədər məhdudlaşdırır, bütün qovluqlar qrupu kökə təyin edilir. Buna görə də istifadəçilər “ps” əmri ilə yalnız öz proseslərini görürlər. Kök hələ də sistemdəki bütün prosesləri görür.
- CONFIG_FS_ADVANCED_CHOWN ləpə yaması müntəzəm istifadəçilərə kataloqlarındakı faylların və alt kataloqların sahibliyini dəyişməyə imkan verir.
- Defolt parametrlərdə bəzi dəyişikliklər (məsələn, UMASK 077-yə təyin edilmişdir).
Mənbə: opennet.ru