ಯೋಜನೆಯ ಅಸೆಂಬ್ಲಿಗಳನ್ನು ಸಿದ್ಧಪಡಿಸಲಾಗಿದೆ
ಮುಖ್ಯ
- "/", "/boot", "/var" ಮತ್ತು "/home" 4 ವಿಭಾಗಗಳಲ್ಲಿ ಅನುಸ್ಥಾಪನೆ. "/" ಮತ್ತು "/boot" ವಿಭಾಗಗಳನ್ನು ಓದಲು-ಮಾತ್ರ ಕ್ರಮದಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ, ಮತ್ತು "/home" ಮತ್ತು "/var" ಅನ್ನು noexec ಮೋಡ್ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ;
- ಕರ್ನಲ್ ಪ್ಯಾಚ್ CONFIG_SETCAP. ಸೆಟ್ಕ್ಯಾಪ್ ಮಾಡ್ಯೂಲ್ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಸಿಸ್ಟಮ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು ಅಥವಾ ಎಲ್ಲಾ ಬಳಕೆದಾರರಿಗೆ ಅವುಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬಹುದು. ಸಿಸ್ಟಂ sysctl ಇಂಟರ್ಫೇಸ್ ಅಥವಾ /proc/sys/setcap ಫೈಲ್ಗಳ ಮೂಲಕ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸೂಪರ್ಯೂಸರ್ನಿಂದ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಮುಂದಿನ ರೀಬೂಟ್ನವರೆಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡದಂತೆ ಫ್ರೀಜ್ ಮಾಡಬಹುದು.
ಸಾಮಾನ್ಯ ಮೋಡ್ನಲ್ಲಿ, ಸಿಸ್ಟಂನಲ್ಲಿ CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ಮತ್ತು 21(CAP_SYS_ADMIN) ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. tinyware-beforeadmin ಆಜ್ಞೆಯನ್ನು (ಮೌಂಟಿಂಗ್ ಮತ್ತು ಸಾಮರ್ಥ್ಯಗಳು) ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್ ಅನ್ನು ಅದರ ಸಾಮಾನ್ಯ ಸ್ಥಿತಿಗೆ ಹಿಂತಿರುಗಿಸಲಾಗುತ್ತದೆ. ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಆಧರಿಸಿ, ನೀವು ಸುರಕ್ಷಿತ ಮಟ್ಟದ ಸರಂಜಾಮುಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಬಹುದು. - ಕೋರ್ ಪ್ಯಾಚ್ PROC_RESTRICT_ACCESS. ಈ ಆಯ್ಕೆಯು /proc/pid ಡೈರೆಕ್ಟರಿಗಳಿಗೆ /proc ಕಡತ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ 555 ರಿಂದ 750 ರವರೆಗೆ ಪ್ರವೇಶವನ್ನು ಮಿತಿಗೊಳಿಸುತ್ತದೆ, ಆದರೆ ಎಲ್ಲಾ ಡೈರೆಕ್ಟರಿಗಳ ಗುಂಪನ್ನು ರೂಟ್ಗೆ ನಿಯೋಜಿಸಲಾಗಿದೆ. ಆದ್ದರಿಂದ, ಬಳಕೆದಾರರು ತಮ್ಮ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು "ps" ಆಜ್ಞೆಯೊಂದಿಗೆ ಮಾತ್ರ ನೋಡುತ್ತಾರೆ. ರೂಟ್ ಇನ್ನೂ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ನೋಡುತ್ತದೆ.
- CONFIG_FS_ADVANCED_CHOWN ಕರ್ನಲ್ ಪ್ಯಾಚ್ ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರಿಗೆ ತಮ್ಮ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ಫೈಲ್ಗಳು ಮತ್ತು ಉಪ ಡೈರೆಕ್ಟರಿಗಳ ಮಾಲೀಕತ್ವವನ್ನು ಬದಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
- ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ಗಳಿಗೆ ಕೆಲವು ಬದಲಾವಣೆಗಳು (ಉದಾ UMASK ಅನ್ನು 077 ಗೆ ಹೊಂದಿಸಲಾಗಿದೆ).
ಮೂಲ: opennet.ru