Majelis proyek telah disiapkan
Utama
- Instalasi pada 4 partisi “/”, “/boot”, “/var” dan “/home”. Partisi “/” dan “/boot” dipasang dalam mode read-only, dan “/home” dan “/var” dipasang dalam mode noexec;
- Patch kernel CONFIG_SETCAP. Modul setcap dapat menonaktifkan kemampuan sistem tertentu atau mengaktifkannya untuk semua pengguna. Modul dikonfigurasi oleh pengguna super saat sistem berjalan melalui antarmuka sysctl atau file /proc/sys/setcap dan dapat dibekukan agar tidak melakukan perubahan hingga reboot berikutnya.
Dalam mode normal, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) dan 21(CAP_SYS_ADMIN) dinonaktifkan di sistem. Sistem dikembalikan ke keadaan normal menggunakan perintah tinyware-beforeadmin (pemasangan dan kemampuan). Berdasarkan modul ini, Anda dapat mengembangkan harness tingkat aman. - Patch inti PROC_RESTRICT_ACCESS. Opsi ini membatasi akses ke direktori /proc/pid di sistem file /proc dari 555 hingga 750, sedangkan grup semua direktori ditetapkan ke root. Oleh karena itu, pengguna hanya melihat proses mereka dengan perintah “ps”. Root masih melihat semua proses dalam sistem.
- Patch kernel CONFIG_FS_ADVANCED_CHOWN untuk memungkinkan pengguna biasa mengubah kepemilikan file dan subdirektori dalam direktori mereka.
- Beberapa perubahan pada pengaturan default (misalnya UMASK diatur ke 077).
Sumber: opennet.ru