Makusanyiko ya mradi yameandaliwa
kuu
- Ufungaji kwenye sehemu 4 "/", "/ boot", "/ var" na "/ nyumbani". Sehemu za "/" na "/ boot" zimewekwa katika hali ya kusoma tu, na "/ nyumbani" na "/ var" zimewekwa katika hali ya noexec;
- Kiraka cha Kernel CONFIG_SETCAP. Moduli ya kuweka cap inaweza kuzima uwezo maalum wa mfumo au kuwawezesha kwa watumiaji wote. Moduli hiyo imesanidiwa na mtumiaji mkuu wakati mfumo unaendesha kiolesura cha sysctl au /proc/sys/setcap faili na inaweza kugandishwa ili isifanye mabadiliko hadi iwashwe tena.
Katika hali ya kawaida, CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) na 21(CAP_SYS_ADMIN) zimezimwa kwenye mfumo. Mfumo unarudishwa katika hali yake ya kawaida kwa kutumia amri ya tinyware-beforereadmin (kuweka na uwezo). Kulingana na moduli, unaweza kukuza uunganisho wa viwango vya usalama. - Kiraka cha msingi PROC_RESTRICT_ACCESS. Chaguo hili linaweka mipaka ya ufikiaji wa saraka /proc/pid katika mfumo wa faili wa /proc kutoka 555 hadi 750, wakati kikundi cha saraka zote kimepewa mizizi. Kwa hiyo, watumiaji wanaona taratibu zao tu na amri ya "ps". Root bado huona michakato yote kwenye mfumo.
- CONFIG_FS_ADVANCED_CHOWN kernel kiraka ili kuruhusu watumiaji wa kawaida kubadilisha umiliki wa faili na saraka ndogo ndani ya saraka zao.
- Baadhi ya mabadiliko kwa mipangilio chaguo-msingi (km UMASK imewekwa kuwa 077).
Chanzo: opennet.ru