L'assemblee di u prugettu sò state preparate
menu
- Installazione nantu à 4 partizioni "/", "/boot", "/var" è "/home". I partizioni "/" è "/boot" sò muntati in modu di sola lettura, è "/home" è "/var" sò muntati in modu noexec;
- Patch di u kernel CONFIG_SETCAP. U modulu setcap pò disattivà e capacità specifiche di u sistema o attivà per tutti l'utilizatori. U modulu hè cunfiguratu da u superuser mentre u sistema viaghja attraversu l'interfaccia sysctl o /proc/sys/setcap files è pò esse congelatu da fà cambiamenti finu à u prossimu reboot.
In modu normale, CAP_CHOWN (0), CAP_DAC_OVERRIDE (1), CAP_DAC_READ_SEARCH (2), CAP_FOWNER (3) è 21 (CAP_SYS_ADMIN) sò disattivati in u sistema. U sistema hè tornatu à u so statu normale utilizendu u cumandamentu tinyware-beforeadmin (muntamentu è capacità). Basatu nantu à u modulu, pudete sviluppà l'arnesi di securelevels. - Core patch PROC_RESTRICT_ACCESS. Questa opzione limita l'accessu à i repertorii /proc/pid in u sistema di file /proc da 555 à 750, mentri u gruppu di tutti i cartulari hè assignatu à root. Dunque, l'utilizatori vedenu solu i so prucessi cù u cumandimu "ps". Root vede sempre tutti i prucessi in u sistema.
- CONFIG_FS_ADVANCED_CHOWN patch di kernel per permette à l'utilizatori regulare di cambià a pruprietà di i fugliali è i subdirectori in i so cartulari.
- Certi cambiamenti à i paràmetri predeterminati (per esempiu UMASK stabilitu à 077).
Source: opennet.ru