Projektaj asembleoj estis preparitaj
Ĉefa
- Instalado sur 4 sekcioj "/", "/boot", "/var" kaj "/home". La "/" kaj "/boot" subdiskoj estas muntitaj en nurlegebla reĝimo, kaj "/home" kaj "/var" estas muntitaj en noexec-reĝimo;
- Kerna diakilo CONFIG_SETCAP. La setcap-modulo povas malŝalti specifitajn sistemajn kapablojn aŭ ebligi ilin por ĉiuj uzantoj. La modulo estas agordita de la superuzanto dum la sistemo funkcias tra la sysctl-interfaco aŭ /proc/sys/setcap dosieroj kaj povas esti frostigita de farado de ŝanĝoj ĝis la venonta rekomenco.
En normala reĝimo, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) kaj 21(CAP_SYS_ADMIN) estas malŝaltitaj en la sistemo. La sistemo estas resendita al sia normala stato per la komando tinyware-beforeadmin (muntado kaj kapabloj). Surbaze de la modulo, vi povas evoluigi la securelevels jungilaron. - Kerna flikaĵo PROC_RESTRICT_ACCESS. Ĉi tiu opcio limigas aliron al la dosierujoj /proc/pid en la dosiersistemo /proc de 555 ĝis 750, dum la grupo de ĉiuj dosierujoj estas asignita al radiko. Tial uzantoj vidas nur siajn procezojn kun la komando "ps". Radiko ankoraŭ vidas ĉiujn procezojn en la sistemo.
- CONFIG_FS_ADVANCED_CHOWN-kerna flikaĵo por permesi al kutimaj uzantoj ŝanĝi proprieton de dosieroj kaj subdosierujoj en siaj dosierujoj.
- Kelkaj ŝanĝoj al defaŭltaj agordoj (ekz. UMASK agordita al 077).
fonto: opennet.ru