Mae gwasanaethau prosiect wedi'u paratoi , yn seiliedig ar y fersiwn 32-bit o Slackware-Current ac wedi'i gludo gydag amrywiadau 32- a 64-bit o'r cnewyllyn Linux 4.19. Maint 800 MB.
Y prif , o'i gymharu â'r Slackware gwreiddiol:
- Gosod ar 4 rhaniad “/”, “/boot”, “/var” a “/home”. Mae'r rhaniadau “/” a “/boot” wedi'u gosod yn y modd darllen yn unig, ac mae “/home” a “/var” wedi'u gosod yn y modd noexec;
- Clytiau cnewyllyn CONFIG_SETCAP. Gall y modiwl setcap analluogi galluoedd system penodedig neu eu galluogi ar gyfer pob defnyddiwr. Mae'r modiwl wedi'i ffurfweddu gan yr uwch-ddefnyddiwr tra bod y system yn rhedeg trwy'r rhyngwyneb sysctl neu ffeiliau / proc/sys/setcap a gellir ei rewi rhag gwneud newidiadau tan yr ailgychwyn nesaf.
Yn y modd arferol, mae CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) a 21(CAP_SYS_ADMIN) wedi eu hanalluogi yn y system. Dychwelir y system i'w chyflwr arferol gan ddefnyddio'r gorchymyn tinyware-beforeadmin (mowntio a galluoedd). Yn seiliedig ar y modiwl, gallwch ddatblygu'r harnais lefelau diogel. - Patch craidd PROC_RESTRICT_ACCESS . Mae'r opsiwn hwn yn cyfyngu mynediad i'r cyfeiriaduron /proc/pid yn y system ffeiliau / proc o 555 i 750, tra bod y grŵp o'r holl gyfeiriaduron wedi'i neilltuo i'r gwraidd. Felly, dim ond eu prosesau y mae defnyddwyr yn eu gweld gyda'r gorchymyn “ps”. Mae Root yn dal i weld yr holl brosesau yn y system.
- CONFIG_FS_ADVANCED_CHOWN clwt cnewyllyn i ganiatáu defnyddwyr rheolaidd i newid perchnogaeth ffeiliau ac is-gyfeiriaduron o fewn eu cyfeiriaduron.
- Rhai newidiadau i osodiadau diofyn (ee UMASK wedi'i osod i 077).
Ffynhonnell: opennet.ru