Projektversammlungen wurden vorbereitet
Haupt-
- Installation auf 4 Partitionen „/“, „/boot“, „/var“ und „/home“. Die Partitionen „/“ und „/boot“ werden im schreibgeschützten Modus gemountet, und „/home“ und „/var“ werden im Noexec-Modus gemountet;
- Kernel-Patch CONFIG_SETCAP. Das Setcap-Modul kann bestimmte Systemfunktionen deaktivieren oder für alle Benutzer aktivieren. Das Modul wird vom Superuser konfiguriert, während das System über die sysctl-Schnittstelle oder die /proc/sys/setcap-Dateien ausgeführt wird, und kann bis zum nächsten Neustart von der Durchführung von Änderungen abgehalten werden.
Im Normalmodus sind CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) und 21(CAP_SYS_ADMIN) im System deaktiviert. Mit dem Befehl tinyware-beforeadmin (Mounting und Funktionen) wird das System in seinen Normalzustand zurückversetzt. Basierend auf dem Modul können Sie den Securelevels-Harness entwickeln. - Kernpatch PROC_RESTRICT_ACCESS. Diese Option begrenzt den Zugriff auf die /proc/pid-Verzeichnisse im /proc-Dateisystem von 555 auf 750, während die Gruppe aller Verzeichnisse dem Root zugewiesen wird. Daher sehen Benutzer mit dem Befehl „ps“ nur ihre Prozesse. Root sieht weiterhin alle Prozesse im System.
- CONFIG_FS_ADVANCED_CHOWN Kernel-Patch, der es regulären Benutzern ermöglicht, den Besitz von Dateien und Unterverzeichnissen in ihren Verzeichnissen zu ändern.
- Einige Änderungen an den Standardeinstellungen (z. B. UMASK auf 077 gesetzt).
Source: opennet.ru