Projekti komplektid on ette valmistatud
Kõik
- Installimine 4 partitsioonile “/”, “/boot”, “/var” ja “/home”. Sektsioonid "/" ja "/boot" on ühendatud kirjutuskaitstud režiimis ning "/home" ja "/var" on ühendatud noexec-režiimis;
- Kerneli plaaster CONFIG_SETCAP. Setcap moodul võib teatud süsteemivõimalused keelata või lubada need kõigile kasutajatele. Mooduli konfigureerib superkasutaja, kui süsteem töötab sysctl-liidese või /proc/sys/setcap failide kaudu ja seda saab külmutada muudatuste tegemisest kuni järgmise taaskäivitamiseni.
Tavarežiimis on CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ja 21(CAP_SYS_ADMIN) süsteemis keelatud. Süsteem taastatakse tavaolekusse, kasutades käsku tinyware-beforeadmin (monteerimine ja võimalused). Mooduli põhjal saate välja töötada turvataseme rakmed. - Põhiparandus PROC_RESTRICT_ACCESS. See suvand piirab juurdepääsu kataloogidele /proc/pid failisüsteemis /proc vahemikus 555 kuni 750, samas kui kõigi kataloogide rühm määratakse juurkataloogile. Seetõttu näevad kasutajad käsuga "ps" ainult oma protsesse. Root näeb endiselt kõiki süsteemi protsesse.
- CONFIG_FS_ADVANCED_CHOWN kerneli paik, mis võimaldab tavakasutajatel muuta oma kataloogides olevate failide ja alamkataloogide omandiõigust.
- Mõned muudatused vaikeseadetes (nt UMASK on seatud väärtusele 077).
Allikas: opennet.ru