Der er udarbejdet projektsamlinger
The main
- Installation på 4 partitioner “/”, “/boot”, “/var” og “/home”. "/"- og "/boot"-partitionerne er monteret i skrivebeskyttet tilstand, og "/home" og "/var" er monteret i noexec-tilstand;
- Kernel patch CONFIG_SETCAP. Setcap-modulet kan deaktivere specificerede systemfunktioner eller aktivere dem for alle brugere. Modulet konfigureres af superbrugeren, mens systemet kører gennem sysctl-grænsefladen eller /proc/sys/setcap-filer og kan fryses fra at foretage ændringer til næste genstart.
I normal tilstand er CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) og 21(CAP_SYS_ADMIN) deaktiveret i systemet. Systemet returneres til sin normale tilstand ved hjælp af tinyware-beforadmin-kommandoen (montering og funktioner). Baseret på modulet kan du udvikle securelevels selen. - Core patch PROC_RESTRICT_ACCESS. Denne mulighed begrænser adgangen til /proc/pid-mapperne i /proc-filsystemet fra 555 til 750, mens gruppen af alle mapper er tildelt root. Derfor ser brugerne kun deres processer med kommandoen "ps". Root ser stadig alle processer i systemet.
- CONFIG_FS_ADVANCED_CHOWN kernepatch for at tillade almindelige brugere at ændre ejerskab af filer og undermapper i deres mapper.
- Nogle ændringer til standardindstillinger (f.eks. UMASK sat til 077).
Kilde: opennet.ru