Parengtos projekto asamblėjos
pagrindinis
- Diegimas 4 skirsniuose „/“, „/boot“, „/var“ ir „/home“. Skyriai „/“ ir „/boot“ montuojami tik skaitymo režimu, o „/home“ ir „/var“ – noexec režimu;
- Branduolio pataisa CONFIG_SETCAP. Setcap modulis gali išjungti nurodytas sistemos galimybes arba įjungti jas visiems vartotojams. Modulis sukonfigūruojamas supervartotojo, kai sistema veikia per sysctl sąsają arba /proc/sys/setcap failus ir gali būti užšaldyta nuo pakeitimų iki kito perkrovimo.
Įprastu režimu CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ir 21(CAP_SYS_ADMIN) sistemoje yra išjungtos. Sistema grąžinama į normalią būseną naudojant komandą „tinyware-beforeadmin“ (montavimas ir galimybės). Remdamiesi moduliu, galite sukurti saugos lygių diržus. - Pagrindinis pataisas PROC_RESTRICT_ACCESS. Ši parinktis apriboja prieigą prie /proc/pid katalogų /proc failų sistemoje nuo 555 iki 750, o visų katalogų grupė priskiriama root. Todėl vartotojai mato tik savo procesus naudodami komandą „ps“. Root vis tiek mato visus sistemos procesus.
- CONFIG_FS_ADVANCED_CHOWN branduolio pataisa, leidžianti paprastiems vartotojams pakeisti failų ir pakatalogių nuosavybę savo kataloguose.
- Kai kurie numatytųjų nustatymų pakeitimai (pvz., UMASK nustatytas į 077).
Šaltinis: opennet.ru