Жоба ассамблеялары дайындалды
басты
- «/», «/boot», «/var» және «/home» 4 бөлімінде орнату. “/” және “/boot” бөлімдері тек оқуға арналған режимде, ал “/home” және “/var” noexec режимінде орнатылады;
- Ядро патч CONFIG_SETCAP. Setcap модулі көрсетілген жүйе мүмкіндіктерін өшіре алады немесе оларды барлық пайдаланушылар үшін қоса алады. Жүйе sysctl интерфейсі немесе /proc/sys/setcap файлдары арқылы жұмыс істеп тұрған кезде модульді суперпайдаланушы конфигурациялайды және келесі қайта жүктеуге дейін өзгертулер енгізуден тоқтатылуы мүмкін.
Қалыпты режимде CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) және 21(CAP_SYS_ADMIN) жүйеде өшірілген. Tinyware-beforeadmin пәрмені (монтаждау және мүмкіндіктер) арқылы жүйе қалыпты күйіне қайтарылады. Модульге сүйене отырып, қауіпсіз деңгейлер белдіктерін әзірлеуге болады. - Негізгі патч PROC_RESTRICT_ACCESS. Бұл опция /proc файлдық жүйесіндегі /proc/pid каталогтарына қатынасты 555-тен 750-ге дейін шектейді, бұл ретте барлық каталогтар тобы түбірге тағайындалады. Сондықтан пайдаланушылар тек «ps» пәрменімен өз процестерін көреді. Түбір әлі де жүйедегі барлық процестерді көреді.
- CONFIG_FS_ADVANCED_CHOWN ядролық патч тұрақты пайдаланушыларға өз каталогтарындағы файлдар мен ішкі каталогтардың иелігін өзгертуге мүмкіндік береді.
- Әдепкі параметрлерге кейбір өзгерістер (мысалы, UMASK 077 мәніне орнатылған).
Ақпарат көзі: opennet.ru