Au fost pregătite ansambluri de proiect
Principalul
- Instalare pe 4 partiții „/”, „/boot”, „/var” și „/home”. Partițiile „/” și „/boot” sunt montate în modul numai citire, iar „/home” și „/var” sunt montate în modul noexec;
- Patch-ul kernelului CONFIG_SETCAP. Modulul setcap poate dezactiva capabilitățile specificate ale sistemului sau le poate activa pentru toți utilizatorii. Modulul este configurat de superutilizator în timp ce sistemul rulează prin interfața sysctl sau fișierele /proc/sys/setcap și poate fi blocat de la efectuarea modificărilor până la următoarea repornire.
În modul normal, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) și 21(CAP_SYS_ADMIN) sunt dezactivate în sistem. Sistemul revine la starea sa normală folosind comanda tinyware-beforeadmin (montare și capabilități). Pe baza modulului, puteți dezvolta hamul securelevels. - Patch-ul principal PROC_RESTRICT_ACCESS. Această opțiune limitează accesul la directoarele /proc/pid din sistemul de fișiere /proc de la 555 la 750, în timp ce grupul tuturor directoarelor este atribuit root. Prin urmare, utilizatorii își văd numai procesele cu comanda „ps”. Root vede în continuare toate procesele din sistem.
- Patch-ul nucleului CONFIG_FS_ADVANCED_CHOWN pentru a permite utilizatorilor obișnuiți să schimbe dreptul de proprietate asupra fișierelor și subdirectoarelor din directoarele lor.
- Unele modificări ale setărilor implicite (de ex. UMASK setat la 077).
Sursa: opennet.ru