Падрыхтаваны зборкі праекта
Асноўныя
- Устаноўка на 4 раздзелы "/", "/boot", "/var" і "/home". Раздзелы "/" і "/boot" мантуюцца ў рэжыме толькі для чытання, а "/home" і "/var" у рэжыме noexec (забарона выканання);
- Патч да ядра CONFIG_SETCAP. Модуль setcap можа адключаць зададзеныя сістэмныя магчымасці (capabilities), ці ўключаць іх для ўсіх карыстачоў. Модуль наладжваецца суперкарыстальнікам падчас працы сістэмы праз інтэрфейс sysctl або файлы /proc/sys/setcap і можа замарожвацца ад занясення змен да наступнай перазагрузкі.
У штатным рэжыме ў сістэме адключаныя CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) і 21(CAP_SYS_ADMIN). У звычайны стан сістэма перакладаецца камандай tinyware-beforeadmin (мантаванне і capabilities). На аснове модуля можна развіць абвязку securelevels. - Патч да ядра PROC_RESTRICT_ACCESS. Дадзеная опцыя абмяжоўвае доступ да каталогаў /proc/pid у файлавай сістэме /proc c 555 на 750, пры гэтым група ва ўсіх каталогаў прызначаецца root. Таму карыстачы бачаць камандай "ps" толькі свае працэсы. Root па-ранейшаму бачыць усе працэсы ў сістэме.
- Патч да ядра CONFIG_FS_ADVANCED_CHOWN, які дазваляе радавым карыстачам змяняць валоданне файламі і падкаталогамі ўсярэдзіне сваіх каталогаў.
- Некаторыя змены налад па змаўчанні (напрыклад, UMASK усталяваны ў 077).
Крыніца: opennet.ru