Majelis proyek wis disiapake
Utama
- Instalasi ing 4 partisi "/", "/ boot", "/ var" lan "/ ngarep". Partisi "/" lan "/ boot" dipasang ing mode mung diwaca, lan "/ ngarep" lan "/ var" dipasang ing mode noexec;
- Kernel patch CONFIG_SETCAP. Modul setcap bisa mateni kemampuan sistem sing ditemtokake utawa ngaktifake kabeh pangguna. Modul dikonfigurasi dening superuser nalika sistem mlaku liwat antarmuka sysctl utawa / proc / sys / file setcap lan bisa beku saka nggawe owah-owahan nganti urip maneh sabanjure.
Ing mode normal, CAP_CHOWN (0), CAP_DAC_OVERRIDE (1), CAP_DAC_READ_SEARCH (2), CAP_FOWNER (3) lan 21 (CAP_SYS_ADMIN) dipateni ing sistem. Sistem kasebut bali menyang kahanan normal kanthi nggunakake perintah tinyware-beforeadmin (pemasangan lan kapabilitas). Adhedhasar modul, sampeyan bisa ngembangake sabuk securelevels. - Tembelan inti PROC_RESTRICT_ACCESS. Opsi iki mbatesi akses menyang direktori / proc / pid ing sistem file / proc saka 555 nganti 750, dene klompok kabeh direktori ditugasake kanggo root. Mulane, pangguna mung ndeleng proses kanthi printah "ps". Root isih ndeleng kabeh proses ing sistem.
- CONFIG_FS_ADVANCED_CHOWN patch kernel kanggo ngidini pangguna biasa ngganti kepemilikan file lan subdirektori ing direktori kasebut.
- Sawetara owah-owahan ing setelan gawan (contone, UMASK disetel menyang 077).
Source: opennet.ru