د پروژې مجلسونه چمتو شوي دي
اصلي
- په 4 برخو "/"، "/ بوټ"، "/var" او "/ کور" نصب کول. د "/" او "/ بوټ" برخې یوازې د لوستلو حالت کې نصب شوي، او "/ کور" او "/ var" په noexec حالت کې نصب شوي؛
- د کرنل پیچ CONFIG_SETCAP. د سیټ کیپ ماډل کولی شي د ځانګړي سیسټم وړتیاوې غیر فعال کړي یا د ټولو کاروونکو لپاره یې فعال کړي. ماډل د سوپر یوزر لخوا تنظیم شوی پداسې حال کې چې سیسټم د sysctl انٹرفیس یا /proc/sys/setcap فایلونو له لارې پرمخ ځي او د راتلونکي ریبوټ پورې د بدلونونو له کولو څخه کنګل کیدی شي.
په نورمال حالت کې، CAP_CHOWN(0)، CAP_DAC_OVERRIDE(1)، CAP_DAC_READ_SEARCH(2)، CAP_FOWNER(3) او 21(CAP_SYS_ADMIN) په سیسټم کې غیر فعال دي. سیسټم د tinyware-beforreadmin کمانډ (ماونټینګ او وړتیاو) په کارولو سره خپل عادي حالت ته راستون شوی. د ماډل پراساس ، تاسو کولی شئ د خوندي کچې هارنس ته وده ورکړئ. - اصلي پیچ PROC_RESTRICT_ACCESS. دا اختیار د /proc فایل سیسټم کې /proc/pid لارښودونو ته لاسرسی له 555 څخه تر 750 پورې محدودوي، پداسې حال کې چې د ټولو لارښودونو ګروپ روټ ته ګمارل شوی. نو ځکه، کاروونکي یوازې د دوی پروسې د "ps" کمانډ سره ګوري. روټ لاهم په سیسټم کې ټولې پروسې ګوري.
- CONFIG_FS_ADVANCED_CHOWN د کرنل پیچ ترڅو منظم کاروونکو ته اجازه ورکړي چې د فایلونو او فرعي ډایرکټرونو ملکیت په خپلو لارښودونو کې بدل کړي.
- په ډیفالټ ترتیباتو کې ځینې بدلونونه (د مثال په توګه UMASK 077 ته ټاکل شوی).
سرچینه: opennet.ru