Er zijn projectassemblages voorbereid
De belangrijkste
- Installatie op 4 partities “/”, “/boot”, “/var” en “/home”. De “/” en “/boot” partities zijn aangekoppeld in de alleen-lezen modus, en “/home” en “/var” zijn aangekoppeld in de noexec-modus;
- Kernelpatch CONFIG_SETCAP. De setcap-module kan gespecificeerde systeemmogelijkheden uitschakelen of voor alle gebruikers inschakelen. De module wordt geconfigureerd door de superuser terwijl het systeem via de sysctl-interface of /proc/sys/setcap-bestanden loopt en kan worden bevroren vanaf het aanbrengen van wijzigingen tot de volgende herstart.
In de normale modus zijn CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) en 21(CAP_SYS_ADMIN) uitgeschakeld in het systeem. Het systeem wordt teruggebracht naar de normale status met behulp van de opdracht tinyware-beforeadmin (montage en mogelijkheden). Op basis van de module kunt u het securelevels harnas ontwikkelen. - Kernpatch PROC_RESTRICT_ACCESS. Deze optie beperkt de toegang tot de /proc/pid-mappen in het /proc-bestandssysteem van 555 tot 750, terwijl de groep van alle mappen wordt toegewezen aan root. Daarom zien gebruikers alleen hun processen met de opdracht “ps”. Root ziet nog steeds alle processen in het systeem.
- CONFIG_FS_ADVANCED_CHOWN kernelpatch waarmee gewone gebruikers het eigendom van bestanden en submappen binnen hun mappen kunnen veranderen.
- Enkele wijzigingen in de standaardinstellingen (bijv. UMASK ingesteld op 077).
Bron: opennet.ru