ව්යාපෘති රැස්වීම් සකස් කර ඇත
ප්රධාන
- "/", "/boot", "/var" සහ "/home" කොටස් 4 ක් මත ස්ථාපනය කිරීම. "/" සහ "/boot" කොටස් කියවීමට-පමණක් ආකාරයෙන් සවිකර ඇති අතර, "/home" සහ "/var" noexec ආකාරයෙන් සවිකර ඇත;
- කර්නල් පැච් CONFIG_SETCAP. setcap මොඩියුලයට නිශ්චිත පද්ධති හැකියාවන් අක්රිය කිරීමට හෝ සියලුම පරිශීලකයින් සඳහා ඒවා සක්රීය කිරීමට හැකිය. පද්ධතිය sysctl අතුරුමුහුණත හෝ /proc/sys/setcap ගොනු හරහා ක්රියාත්මක වන විට මොඩියුලය සුපිරි පරිශීලකයා විසින් වින්යාස කර ඇති අතර මීළඟ නැවත පණගැන්වීම තෙක් වෙනස්කම් සිදුකිරීමෙන් ශීත කළ හැක.
සාමාන්ය ප්රකාරයේදී, පද්ධතියේ CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) සහ 21(CAP_SYS_ADMIN) අක්රිය කර ඇත. tinyware-beforeadmin විධානය (සවි කිරීම සහ හැකියාවන්) භාවිතයෙන් පද්ධතිය එහි සාමාන්ය තත්වයට ගෙන එයි. මොඩියුලය මත පදනම්ව, ඔබට ආරක්ෂිත මට්ටමේ පටි සංවර්ධනය කළ හැකිය. - මූලික පැච් PROC_RESTRICT_ACCESS. මෙම විකල්පය 555 සිට 750 දක්වා /proc ගොනු පද්ධතියේ /proc/pid නාමාවලි වෙත ප්රවේශය සීමා කරන අතර, සියලුම නාමාවලි සමූහය root වෙත පවරා ඇත. එබැවින්, පරිශීලකයන් දකින්නේ "ps" විධානය සමඟ ඔවුන්ගේ ක්රියාවලි පමණි. Root තවමත් පද්ධතියේ සියලුම ක්රියාවලීන් දකියි.
- CONFIG_FS_ADVANCED_CHOWN කර්නල් පැච් සාමාන්ය පරිශීලකයින්ට ඔවුන්ගේ නාමාවලි තුළ ඇති ගොනු සහ උප බහලුම්වල හිමිකාරිත්වය වෙනස් කිරීමට ඉඩ සලසයි.
- පෙරනිමි සැකසුම් වලට සමහර වෙනස්කම් (උදා: UMASK 077 ලෙස සකසා ඇත).
මූලාශ්රය: opennet.ru