Sono state preparate le assemblee di progetto
Il principale
- Installazione su 4 partizioni “/”, “/boot”, “/var” e “/home”. Le partizioni “/” e “/boot” sono montate in modalità di sola lettura, mentre “/home” e “/var” sono montate in modalità noexec;
- Patch del kernel CONFIG_SETCAP. Il modulo setcap può disabilitare funzionalità di sistema specifiche o abilitarle per tutti gli utenti. Il modulo viene configurato dal superutente mentre il sistema è in esecuzione tramite l'interfaccia sysctl o i file /proc/sys/setcap e può essere bloccato dall'apportare modifiche fino al successivo riavvio.
In modalità normale, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) e 21(CAP_SYS_ADMIN) sono disabilitati nel sistema. Il sistema viene riportato al suo stato normale utilizzando il comando tinyware-beforeadmin (montaggio e funzionalità). Sulla base del modulo, è possibile sviluppare il cablaggio dei livelli sicuri. - Patch principale PROC_RESTRICT_ACCESS. Questa opzione limita l'accesso alle directory /proc/pid nel file system /proc da 555 a 750, mentre il gruppo di tutte le directory è assegnato a root. Pertanto, gli utenti vedono solo i loro processi con il comando “ps”. Root vede ancora tutti i processi nel sistema.
- CONFIG_FS_ADVANCED_CHOWN patch del kernel per consentire agli utenti regolari di modificare la proprietà di file e sottodirectory all'interno delle proprie directory.
- Alcune modifiche alle impostazioni predefinite (ad esempio UMASK impostato su 077).
Fonte: opennet.ru