Efa voaomana ny fivoriambe
tena
- Fametrahana amin'ny fizarana 4 "/", "/ boot", "/ var" ary "/ home". Ny fizarana "/" sy "/ boot" dia apetraka amin'ny fomba vakiana fotsiny, ary ny "/ home" sy "/ var" dia apetraka amin'ny fomba noexec;
- Kernel patch CONFIG_SETCAP. Ny maody setcap dia afaka manafoana ny fahafahan'ny rafitra voafaritra na mamela azy ireo ho an'ny mpampiasa rehetra. Ny mΓ΄dΓ΄la dia amboarin'ny superuser raha toa ka mandeha amin'ny alΓ lan'ny interface sysctl na ny rakitra / proc/sys/setcap ny rafitra ary azo apetraka amin'ny fanaovana fanovana mandra-pahatongan'ny reboot manaraka.
Amin'ny fomba mahazatra, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ary 21(CAP_SYS_ADMIN) dia kilemaina ao amin'ny rafitra. Averina amin'ny laoniny ny rafitra amin'ny alΓ lan'ny baiko tinyware-beforeadmin (fametrahana sy fahaiza-manao). Miorina amin'ny maody, azonao atao ny mamolavola ny harness securelevels. - Patch fototra PROC_RESTRICT_ACCESS. Ity safidy ity dia mametra ny fidirana amin'ny lahatahiry / proc / pid ao amin'ny rafitra fisie / proc manomboka amin'ny 555 ka hatramin'ny 750, raha toa ka voatendry ho root ny vondron'ny lahatahiry rehetra. Noho izany, ny mpampiasa dia tsy mahita afa-tsy ny fizotrany miaraka amin'ny baiko "ps". Ny Root dia mbola mahita ny dingana rehetra ao amin'ny rafitra.
- CONFIG_FS_ADVANCED_CHOWN patch kernel ahafahan'ny mpampiasa mahazatra manova ny tompon'ny rakitra sy ny subdirectories ao anatin'ny lahatahiry.
- Ny fanovana sasany amin'ny fandrindrana default (oh UMASK napetraka amin'ny 077).
Source: opennet.ru