В рамках проекта TinyWare подготовлена новая сборка Slackware

Подготовлены сборки проекта TinyWare, основанные на 32-разрядной версии Slackware-Current и поставляемые с 32- и 64-разрядными вариантами ядра Linux 4.19. Размер iso-образа 800 Мб.

Основные изменения, по сравнению с оригинальным Slackware:

  • Установка на 4 раздела «/», «/boot», «/var» и «/home». Разделы «/» и «/boot» монтируются в режиме только для чтения, а «/home» и «/var» в режиме noexec (запрет исполнения);
  • Патч к ядру CONFIG_SETCAP. Модуль setcap может отключать заданные системные возможности (capabilities), или включать их для всех пользователей. Модуль настраивается суперпользователем во время работы системы через интерфейс sysctl или файлы /proc/sys/setcap и может замораживаться от внесения изменений до следующей перезагрузки.
    В штатном режиме в системе отключены CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) и 21(CAP_SYS_ADMIN). В обычное состояние система переводится командой tinyware-beforeadmin (монтирование и capabilities). На основе модуля можно развить обвязку securelevels.

  • Патч к ядру PROC_RESTRICT_ACCESS. Данная опция ограничивает доступ к каталогам /proc/pid в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root. Поэтому пользователи видят командой «ps» только свои процессы. Root по прежнему видит все процессы в системе.
  • Патч к ядру CONFIG_FS_ADVANCED_CHOWN, позволяющий рядовым пользователям изменять владение файлами и подкаталогами внутри своих каталогов.
  • Некоторые изменения настроек по умолчанию (например, UMASK установлен в 077).

Источник: opennet.ru

Добавить комментарий