Przygotowano montaże projektowe
Głównym
- Instalacja na 4 partycjach „/”, „/boot”, „/var” i „/home”. Partycje „/” i „/boot” są montowane w trybie tylko do odczytu, a „/home” i „/var” są montowane w trybie noexec;
- Poprawka jądra CONFIG_SETCAP. Moduł setcap może wyłączyć określone możliwości systemu lub włączyć je dla wszystkich użytkowników. Moduł jest konfigurowany przez superużytkownika, gdy system działa za pośrednictwem interfejsu sysctl lub plików /proc/sys/setcap i można go zablokować przed wprowadzaniem zmian do następnego ponownego uruchomienia.
W trybie normalnym funkcje CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) i 21(CAP_SYS_ADMIN) są wyłączone w systemie. System zostaje przywrócony do normalnego stanu za pomocą polecenia tinyware-beforreadmin (montaż i możliwości). Na podstawie modułu można opracować wiązkę Securelevels. - Łatka podstawowa PROC_RESRICT_ACCESS. Ta opcja ogranicza dostęp do katalogów /proc/pid w systemie plików /proc z 555 do 750, podczas gdy grupa wszystkich katalogów jest przypisana do roota. Dlatego użytkownicy widzą tylko swoje procesy za pomocą polecenia „ps”. Root nadal widzi wszystkie procesy w systemie.
- CONFIG_FS_ADVANCED_CHOWN poprawka do jądra umożliwiająca zwykłym użytkownikom zmianę własności plików i podkatalogów w ich katalogach.
- Niektóre zmiany w ustawieniach domyślnych (np. UMASK ustawiony na 077).
Źródło: opennet.ru