Se han preparado asambleas de proyecto.
El principal
- Instalación en 4 particiones “/”, “/boot”, “/var” y “/home”. Las particiones “/” y “/boot” se montan en modo de solo lectura, y “/home” y “/var” se montan en modo noexec;
- Parche del kernel CONFIG_SETCAP. El módulo setcap puede deshabilitar capacidades específicas del sistema o habilitarlas para todos los usuarios. El módulo lo configura el superusuario mientras el sistema se ejecuta a través de la interfaz sysctl o los archivos /proc/sys/setcap y se puede congelar para que no realice cambios hasta el próximo reinicio.
En modo normal, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) y 21(CAP_SYS_ADMIN) están deshabilitados en el sistema. El sistema vuelve a su estado normal mediante el comando tinyware-beforeadmin (montaje y capacidades). Basado en el módulo, puede desarrollar el arnés de niveles seguros. - Parche principal PROC_RESTRICT_ACCESS. Esta opción limita el acceso a los directorios /proc/pid en el sistema de archivos /proc de 555 a 750, mientras que el grupo de todos los directorios se asigna a la raíz. Por tanto, los usuarios sólo ven sus procesos con el comando "ps". Root todavía ve todos los procesos en el sistema.
- Parche del kernel CONFIG_FS_ADVANCED_CHOWN para permitir a los usuarios habituales cambiar la propiedad de los archivos y subdirectorios dentro de sus directorios.
- Algunos cambios en la configuración predeterminada (por ejemplo, UMASK configurado en 077).
Fuente: opennet.ru