Ang mga asembliya sa proyekto giandam na
nag-unang
- Pag-instalar sa 4 nga partisyon "/", "/ boot", "/ var" ug "/ home". Ang "/" ug "/ boot" nga mga partisyon gi-mount sa read-only mode, ug ang "/ home" ug "/ var" gi-mount sa noexec mode;
- Kernel patch CONFIG_SETCAP. Ang setcap module mahimong mag-disable sa piho nga mga kapabilidad sa sistema o makapahimo niini alang sa tanan nga mga tiggamit. Ang module gi-configure sa superuser samtang ang sistema nagdagan pinaagi sa sysctl interface o / proc / sys / setcap nga mga file ug mahimong ma-frozen gikan sa paghimo og mga pagbag-o hangtod sa sunod nga pag-reboot.
Sa normal nga mode, ang CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ug 21(CAP_SYS_ADMIN) gi-disable sa sistema. Ang sistema ibalik sa normal nga kahimtang niini gamit ang tinyware-beforeadmin nga sugo (pag-mount ug mga kapabilidad). Base sa module, mahimo nimong mapalambo ang securelevels harness. - Core nga patch PROC_RESTRICT_ACCESS. Kini nga opsyon naglimite sa pag-access sa / proc / pid nga mga direktoryo sa / proc file system gikan sa 555 ngadto sa 750, samtang ang grupo sa tanang mga direktoryo gi-assign sa gamut. Busa, ang mga tiggamit makakita lamang sa ilang mga proseso sa "ps" nga sugo. Nakita gihapon sa Root ang tanan nga mga proseso sa sistema.
- CONFIG_FS_ADVANCED_CHOWN kernel patch aron tugotan ang mga regular nga tiggamit sa pag-usab sa pagpanag-iya sa mga file ug subdirectory sulod sa ilang mga direktoryo.
- Ang ubang mga kausaban sa default settings (eg UMASK set sa 077).
Source: opennet.ru