Byly připraveny projektové sestavy
hlavní
- Instalace na 4 oddíly „/“, „/boot“, „/var“ a „/home“. Oddíly „/“ a „/boot“ jsou připojeny v režimu pouze pro čtení a „/home“ a „/var“ jsou připojeny v režimu noexec;
- Oprava jádra CONFIG_SETCAP. Modul setcap může zakázat specifické funkce systému nebo je povolit pro všechny uživatele. Modul je konfigurován superuživatelem, zatímco systém běží přes rozhraní sysctl nebo soubory /proc/sys/setcap a může být zmrazen před prováděním změn až do příštího restartu.
V normálním režimu jsou v systému zakázány CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) a 21(CAP_SYS_ADMIN). Systém se vrátí do normálního stavu pomocí příkazu tinyware-beforeadmin (připojení a možnosti). Na základě modulu můžete vyvinout postroj securelevels. - Oprava jádra PROC_RESTRICT_ACCESS. Tato volba omezuje přístup k adresářům /proc/pid v systému souborů /proc z 555 na 750, zatímco skupina všech adresářů je přiřazena rootovi. Uživatelé tedy vidí pouze své procesy pomocí příkazu „ps“. Root stále vidí všechny procesy v systému.
- Oprava jádra CONFIG_FS_ADVANCED_CHOWN, která běžným uživatelům umožňuje měnit vlastnictví souborů a podadresářů v jejich adresářích.
- Některé změny výchozího nastavení (např. UMASK nastaven na 077).
Zdroj: opennet.ru