Hankekokoonpanot on valmisteltu
Pääasiallinen
- Asennus 4 osioon "/", "/boot", "/var" ja "/home". Osiot "/" ja "/boot" asennetaan vain luku -tilassa, ja "/home" ja "/var" asennetaan noexec-tilassa;
- Ytimen korjaustiedosto CONFIG_SETCAP. Setcap-moduuli voi poistaa tietyt järjestelmäominaisuudet käytöstä tai ottaa ne käyttöön kaikille käyttäjille. Pääkäyttäjä määrittää moduulin järjestelmän ollessa käynnissä sysctl-liitännän tai /proc/sys/setcap-tiedostojen kautta, ja se voidaan jäädyttää muutosten tekemisestä seuraavaan uudelleenkäynnistykseen asti.
Normaalitilassa CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ja 21(CAP_SYS_ADMIN) eivät ole käytössä järjestelmässä. Järjestelmä palautetaan normaalitilaan käyttämällä tinyware-beforeadmin-komentoa (asennus ja ominaisuudet). Moduulin perusteella voit kehittää Securelevels-valjaat. - Ydinkorjaus PROC_RESTRICT_ACCESS. Tämä vaihtoehto rajoittaa pääsyn /proc-tiedostojärjestelmän /proc/pid-hakemistoihin 555:stä 750:een, kun taas kaikkien hakemistojen ryhmä on määritetty juurihakemistoon. Siksi käyttäjät näkevät vain prosessinsa "ps"-komennolla. Root näkee edelleen kaikki prosessit järjestelmässä.
- CONFIG_FS_ADVANCED_CHOWN ytimen korjaustiedosto, jonka avulla tavalliset käyttäjät voivat muuttaa tiedostojen ja alihakemistojen omistajuutta hakemistoissaan.
- Joitakin muutoksia oletusasetuksiin (esim. UMASK asetettu arvoon 077).
Lähde: opennet.ru