Elaboráronse montaxes de proxectos
O principal
- Instalación en 4 particións “/”, “/boot”, “/var” e “/home”. As particións “/” e “/boot” están montadas en modo de só lectura, e “/home” e “/var” están montadas en modo noexec;
- Parche do núcleo CONFIG_SETCAP. O módulo setcap pode desactivar as capacidades especificadas do sistema ou activalas para todos os usuarios. O módulo é configurado polo superusuario mentres o sistema se está a executar a través da interface sysctl ou dos ficheiros /proc/sys/setcap e pódese conxelar desde que se fagan cambios ata o seguinte reinicio.
No modo normal, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) e 21(CAP_SYS_ADMIN) están desactivados no sistema. O sistema volve ao seu estado normal mediante o comando tinyware-beforeadmin (montaxe e capacidades). Con base no módulo, podes desenvolver o arnés Securelevels. - Parche principal PROC_RESTRICT_ACCESS. Esta opción limita o acceso aos directorios /proc/pid do sistema de ficheiros /proc de 555 a 750, mentres que o grupo de todos os directorios está asignado a root. Polo tanto, os usuarios só ven os seus procesos co comando "ps". Root aínda ve todos os procesos do sistema.
- Parche do núcleo CONFIG_FS_ADVANCED_CHOWN para permitir que os usuarios habituais cambien a propiedade dos ficheiros e subdirectorios dos seus directorios.
- Algúns cambios na configuración predeterminada (por exemplo, UMASK definido en 077).
Fonte: opennet.ru