Projektsammansättningar har förberetts
Den huvudsakliga
- Installation på 4 partitioner "/", "/boot", "/var" och "/home". "/" och "/boot"-partitionerna är monterade i skrivskyddat läge, och "/home" och "/var" är monterade i noexec-läge;
- Kärnpatch CONFIG_SETCAP. Setcap-modulen kan inaktivera specificerade systemfunktioner eller aktivera dem för alla användare. Modulen konfigureras av superanvändaren medan systemet körs genom sysctl-gränssnittet eller /proc/sys/setcap-filer och kan frysas från att göra ändringar till nästa omstart.
I normalt läge är CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) och 21(CAP_SYS_ADMIN) inaktiverade i systemet. Systemet återställs till sitt normala tillstånd med kommandot tinyware-beforadmin (montering och funktioner). Baserat på modulen kan du utveckla SecureLevel-selen. - Core patch PROC_RESTRICT_ACCESS. Det här alternativet begränsar åtkomst till /proc/pid-katalogerna i /proc-filsystemet från 555 till 750, medan gruppen av alla kataloger tilldelas root. Därför ser användarna bara sina processer med kommandot "ps". Root ser fortfarande alla processer i systemet.
- CONFIG_FS_ADVANCED_CHOWN kärnpatch för att tillåta vanliga användare att ändra äganderätt till filer och underkataloger i sina kataloger.
- Vissa ändringar av standardinställningarna (t.ex. UMASK satt till 077).
Källa: opennet.ru