Perhimpunan projek telah disediakan
Utama
- Pemasangan pada 4 partition β/β, β/bootβ, β/varβ dan β/homeβ. Pembahagian "/" dan "/boot" dipasang dalam mod baca sahaja, dan "/home" dan "/var" dipasang dalam mod noexec;
- Tampalan kernel CONFIG_SETCAP. Modul setcap boleh melumpuhkan keupayaan sistem tertentu atau membolehkannya untuk semua pengguna. Modul ini dikonfigurasikan oleh superuser semasa sistem berjalan melalui antara muka sysctl atau fail /proc/sys/setcap dan boleh dibekukan daripada membuat perubahan sehingga but semula seterusnya.
Dalam mod biasa, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) dan 21(CAP_SYS_ADMIN) dilumpuhkan dalam sistem. Sistem dikembalikan kepada keadaan biasa menggunakan perintah tinyware-beforeadmin (pemasangan dan keupayaan). Berdasarkan modul, anda boleh membangunkan abah-abah securelevels. - Tampalan teras PROC_RESTRICT_ACCESS. Pilihan ini mengehadkan akses kepada direktori /proc/pid dalam sistem fail /proc daripada 555 kepada 750, manakala kumpulan semua direktori diperuntukkan kepada root. Oleh itu, pengguna hanya melihat proses mereka dengan arahan "ps". Root masih melihat semua proses dalam sistem.
- CONFIG_FS_ADVANCED_CHOWN patch kernel untuk membenarkan pengguna biasa menukar pemilikan fail dan subdirektori dalam direktori mereka.
- Beberapa perubahan pada tetapan lalai (cth UMASK ditetapkan kepada 077).
Sumber: opennet.ru