Ir sagatavotas projektu montāžas
Galvenais
- Instalēšana 4 nodalījumos “/”, “/boot”, “/var” un “/home”. Sadaļas “/” un “/boot” ir montētas tikai lasīšanas režīmā, un “/home” un “/var” ir uzstādītas noexec režīmā;
- Kodola ielāps CONFIG_SETCAP. Setcap modulis var atspējot noteiktas sistēmas iespējas vai iespējot tās visiem lietotājiem. Moduli konfigurē superlietotājs, kamēr sistēma darbojas, izmantojot sysctl saskarni vai /proc/sys/setcap failus, un to var iesaldēt no izmaiņu veikšanas līdz nākamajai atsāknēšanai.
Normālā režīmā CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) un 21(CAP_SYS_ADMIN) sistēmā ir atspējoti. Sistēma tiek atgriezta normālā stāvoklī, izmantojot komandu tinyware-beforeadmin (montāža un iespējas). Pamatojoties uz moduli, varat izveidot drošu līmeņu instalāciju. - Galvenais ielāps PROC_RESTRICT_ACCESS. Šī opcija ierobežo piekļuvi /proc/pid direktorijiem /proc failu sistēmā no 555 līdz 750, savukārt visu direktoriju grupa tiek piešķirta saknei. Tāpēc lietotāji redz tikai savus procesus ar komandu “ps”. Sakne joprojām redz visus sistēmas procesus.
- CONFIG_FS_ADVANCED_CHOWN kodola ielāps, lai ļautu parastajiem lietotājiem mainīt īpašumtiesības uz failiem un apakšdirektorijiem savos direktorijos.
- Dažas izmaiņas noklusējuma iestatījumos (piemēram, UMASK iestatīts uz 077).
Avots: opennet.ru