プロジェクトアセンブリが準備されました
メイン
- 「/」、「/boot」、「/var」、「/home」の 4 つのパーティションにインストールします。 「/」および「/boot」パーティションは読み取り専用モードでマウントされ、「/home」および「/var」は noexec モードでマウントされます。
- カーネル パッチ CONFIG_SETCAP。 setcap モジュールは、指定されたシステム機能を無効にしたり、すべてのユーザーに対して有効にしたりできます。 このモジュールは、システムの実行中に sysctl インターフェイスまたは /proc/sys/setcap ファイルを介してスーパーユーザーによって構成され、次回の再起動まで変更を加えないようフリーズすることができます。
通常モードでは、CAP_CHOWN(0)、CAP_DAC_OVERRIDE(1)、CAP_DAC_READ_SEARCH(2)、CAP_FOWNER(3)、および 21(CAP_SYS_ADMIN) はシステムで無効になります。 tinyware-beforeadmin コマンド (マウントと機能) を使用して、システムを通常の状態に戻します。 モジュールに基づいて、securelevels ハーネスを開発できます。 - コア パッチ PROC_RESTRICT_ACCESS。 このオプションは、/proc ファイル システム内の /proc/pid ディレクトリへのアクセスを 555 から 750 に制限しますが、すべてのディレクトリのグループは root に割り当てられます。 したがって、ユーザーは「ps」コマンドを使用すると自分のプロセスのみを表示します。 ルートは引き続きシステム内のすべてのプロセスを参照します。
- CONFIG_FS_ADVANCED_CHOWN カーネル パッチにより、通常のユーザーがディレクトリ内のファイルおよびサブディレクトリの所有権を変更できるようになります。
- デフォルト設定へのいくつかの変更 (例: UMASK を 077 に設定)。
出所: オープンネット.ru