Төслийн чуулганыг бэлтгэсэн
Үндсэн
- “/”, “/boot”, “/var” болон “/home” гэсэн 4 хуваалт дээр суулгана. “/” ба “/boot” хуваалтууд нь зөвхөн унших горимд, “/home” болон “/var” нь noexec горимд суурилагдсан;
- Цөмийн засвар CONFIG_SETCAP. Setcap модуль нь заасан системийн чадавхийг идэвхгүй болгох эсвэл бүх хэрэглэгчдэд идэвхжүүлэх боломжтой. Систем sysctl интерфэйс эсвэл /proc/sys/setcap файлуудаар ажиллаж байх үед модулийг супер хэрэглэгч тохируулсан бөгөөд дараагийн дахин ачаалах хүртэл өөрчлөлт хийхээс татгалзаж болно.
Ердийн горимд CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) болон 21(CAP_SYS_ADMIN) системд идэвхгүй байна. Tinyware-beforeadmin командыг (суулгах ба боломжууд) ашиглан системийг хэвийн төлөвт нь буцаана. Модуль дээр үндэслэн та аюулгүй байдлын түвшний бэхэлгээг боловсруулж болно. - Үндсэн засвар PROC_RESTRICT_ACCESS. Энэ сонголт нь /proc файлын систем дэх /proc/pid директоруудад хандах хандалтыг 555-аас 750 хүртэл хязгаарладаг бол бүх сангуудын бүлгийг root-д хуваарилдаг. Тиймээс хэрэглэгчид зөвхөн "ps" командын тусламжтайгаар үйл явцаа хардаг. Root нь систем дэх бүх процессыг хардаг хэвээр байна.
- CONFIG_FS_ADVANCED_CHOWN цөмийн засвар нь энгийн хэрэглэгчдэд өөрийн директор доторх файл болон дэд сангуудын өмчлөлийг өөрчлөх боломжийг олгоно.
- Өгөгдмөл тохиргоонд зарим өөрчлөлтүүд (жишээлбэл, UMASK-г 077 болгож тохируулсан).
Эх сурвалж: opennet.ru