Prosjektsamlinger er utarbeidet
Den viktigste
- Installasjon på 4 partisjoner “/”, “/boot”, “/var” og “/home”. "/" og "/boot"-partisjonene er montert i skrivebeskyttet modus, og "/home" og "/var" er montert i noexec-modus;
- Kjerneoppdatering CONFIG_SETCAP. Setcap-modulen kan deaktivere spesifiserte systemfunksjoner eller aktivere dem for alle brukere. Modulen konfigureres av superbrukeren mens systemet kjører gjennom sysctl-grensesnittet eller /proc/sys/setcap-filer og kan fryses fra å gjøre endringer til neste omstart.
I normal modus er CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) og 21(CAP_SYS_ADMIN) deaktivert i systemet. Systemet returneres til normal tilstand ved hjelp av tinyware-beforadmin-kommandoen (montering og muligheter). Basert på modulen kan du utvikle selen for securelevels. - Kjerneoppdatering PROC_RESTRICT_ACCESS. Dette alternativet begrenser tilgangen til /proc/pid-katalogene i /proc-filsystemet fra 555 til 750, mens gruppen med alle kataloger er tilordnet root. Derfor ser brukere bare prosessene deres med "ps"-kommandoen. Root ser fortsatt alle prosesser i systemet.
- CONFIG_FS_ADVANCED_CHOWN kjernepatch for å tillate vanlige brukere å endre eierskap av filer og underkataloger i deres kataloger.
- Noen endringer i standardinnstillinger (f.eks. UMASK satt til 077).
Kilde: opennet.ru