Boli pripravené projektové zostavy
Hlavné
- Inštalácia na 4 oddiely „/“, „/boot“, „/var“ a „/home“. Oddiely „/“ a „/boot“ sú pripojené v režime len na čítanie a „/home“ a „/var“ sú pripojené v režime noexec;
- Oprava jadra CONFIG_SETCAP. Modul setcap môže zakázať špecifikované schopnosti systému alebo ich povoliť pre všetkých používateľov. Modul je nakonfigurovaný superuserom, zatiaľ čo systém beží cez rozhranie sysctl alebo súbory /proc/sys/setcap a môže byť zmrazený pred vykonaním zmien až do ďalšieho reštartu.
V normálnom režime sú v systéme zakázané CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) a 21(CAP_SYS_ADMIN). Systém sa vráti do normálneho stavu pomocou príkazu tinyware-beforeadmin (pripojenie a možnosti). Na základe modulu môžete vyvinúť postroj securelevels. - Základná oprava PROC_RESTRICT_ACCESS. Táto voľba obmedzuje prístup k adresárom /proc/pid v súborovom systéme /proc z 555 na 750, pričom skupina všetkých adresárov je priradená rootovi. Používatelia preto vidia iba svoje procesy pomocou príkazu „ps“. Root stále vidí všetky procesy v systéme.
- Oprava jadra CONFIG_FS_ADVANCED_CHOWN umožňuje bežným používateľom zmeniť vlastníctvo súborov a podadresárov v rámci ich adresárov.
- Niektoré zmeny predvolených nastavení (napr. UMASK nastavený na 077).
Zdroj: opennet.ru