مجامع پروژه آماده شده است
اصلی
- نصب بر روی 4 پارتیشن "/"، "/boot"، "/var" و "/home". پارتیشنهای “/” و “/boot” در حالت فقط خواندنی و “/home” و “/var” در حالت noexec نصب میشوند.
- وصله هسته CONFIG_SETCAP. ماژول setcap می تواند قابلیت های مشخص شده سیستم را غیرفعال کند یا آنها را برای همه کاربران فعال کند. زمانی که سیستم از طریق رابط sysctl یا فایلهای /proc/sys/setcap در حال اجراست توسط ابرکاربر پیکربندی میشود و میتوان آن را از ایجاد تغییرات تا راهاندازی مجدد بعدی مسدود کرد.
در حالت عادی، CAP_CHOWN(0)، CAP_DAC_OVERRIDE(1)، CAP_DAC_READ_SEARCH(2)، CAP_FOWNER(3) و 21(CAP_SYS_ADMIN) در سیستم غیرفعال هستند. سیستم با استفاده از دستور tinyware-beforeadmin (نصب و قابلیت ها) به حالت عادی خود باز می گردد. بر اساس ماژول، می توانید مهار امنیت سطوح را توسعه دهید. - وصله اصلی PROC_RESTRICT_ACCESS. این گزینه دسترسی به دایرکتوری های /proc/pid در سیستم فایل proc / را از 555 به 750 محدود می کند، در حالی که گروه همه دایرکتوری ها به root اختصاص داده می شوند. بنابراین، کاربران تنها فرآیندهای خود را با دستور "ps" مشاهده می کنند. Root هنوز همه فرآیندهای سیستم را می بیند.
- وصله هسته CONFIG_FS_ADVANCED_CHOWN به کاربران عادی اجازه می دهد تا مالکیت فایل ها و زیر شاخه ها را در دایرکتوری های خود تغییر دهند.
- برخی تغییرات در تنظیمات پیش فرض (مثلاً UMASK روی 077 تنظیم شده است).
منبع: opennet.ru