Proiektuen muntaiak prestatu dira
Nagusia
- Instalazioa 4 partizioetan “/”, “/boot”, “/var” eta “/home”. “/” eta “/boot” partizioak irakurtzeko soilik moduan muntatzen dira, eta “/home” eta “/var” noexec moduan muntatzen dira;
- Kernel-adabakia CONFIG_SETCAP. Setcap moduluak zehaztutako sistemaren gaitasunak desgaitu ditzake edo erabiltzaile guztientzat gaitu. Modulua supererabiltzaileak konfiguratzen du sistema sysctl interfazearen edo /proc/sys/setcap fitxategien bidez exekutatzen ari den bitartean eta izoztu egin daiteke aldaketak egiten hasi eta hurrengo berrabiarazi arte.
Modu arruntean, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) eta 21(CAP_SYS_ADMIN) desgaituta daude sisteman. Sistema bere egoera normalera itzultzen da tinyware-beforeadmin komandoa erabiliz (muntatzea eta gaitasunak). Moduluan oinarrituta, securelevels arnesa garatu dezakezu. - PROC_RESTRICT_ACCESS oinarrizko adabakia. Aukera honek /proc fitxategi-sistemako /proc/pid direktorioetarako sarbidea mugatzen du 555etik 750era, direktorio guztien taldea root-era esleituta dagoen bitartean. Hori dela eta, erabiltzaileek beren prozesuak soilik ikusten dituzte "ps" komandoarekin. Root-ek sistemako prozesu guztiak ikusten ditu oraindik.
- CONFIG_FS_ADVANCED_CHOWN nukleoaren adabakia ohiko erabiltzaileek beren direktorioetako fitxategien eta azpidirektorioen jabetza alda dezaten.
- Ezarpen lehenetsietan aldaketa batzuk (adibidez, UMASK 077-n ezarri da).
Iturria: opennet.ru