As montagens do projeto foram preparadas
O principal
- Instalação em 4 partições “/”, “/boot”, “/var” e “/home”. As partições “/” e “/boot” são montadas em modo somente leitura, e “/home” e “/var” são montadas em modo noexec;
- Correção do kernel CONFIG_SETCAP. O módulo setcap pode desabilitar recursos específicos do sistema ou habilitá-los para todos os usuários. O módulo é configurado pelo superusuário enquanto o sistema está sendo executado por meio da interface sysctl ou dos arquivos /proc/sys/setcap e pode ser impedido de fazer alterações até a próxima reinicialização.
No modo normal, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) e 21(CAP_SYS_ADMIN) estão desabilitados no sistema. O sistema retorna ao seu estado normal usando o comando tinyware-beforeadmin (montagem e recursos). Com base no módulo, você pode desenvolver o chicote securelevels. - Patch principal PROC_RESTRICT_ACCESS. Esta opção limita o acesso aos diretórios /proc/pid no sistema de arquivos /proc de 555 a 750, enquanto o grupo de todos os diretórios é atribuído à raiz. Portanto, os usuários veem apenas seus processos com o comando “ps”. O Root ainda vê todos os processos do sistema.
- Patch do kernel CONFIG_FS_ADVANCED_CHOWN para permitir que usuários regulares alterem a propriedade de arquivos e subdiretórios dentro de seus diretórios.
- Algumas alterações nas configurações padrão (por exemplo, UMASK definido como 077).
Fonte: opennet.ru