ప్రాజెక్టు సమావేశాలు సిద్ధమయ్యాయి
ప్రధాన
- 4 విభజనలపై సంస్థాపన “/”, “/boot”, “/var” మరియు “/home”. “/” మరియు “/boot” విభజనలు రీడ్-ఓన్లీ మోడ్లో మౌంట్ చేయబడతాయి మరియు “/home” మరియు “/var” noexec మోడ్లో మౌంట్ చేయబడతాయి;
- కెర్నల్ ప్యాచ్ CONFIG_SETCAP. సెట్క్యాప్ మాడ్యూల్ పేర్కొన్న సిస్టమ్ సామర్థ్యాలను నిలిపివేయగలదు లేదా వినియోగదారులందరికీ వాటిని ప్రారంభించగలదు. సిస్టమ్ sysctl ఇంటర్ఫేస్ లేదా /proc/sys/setcap ఫైల్ల ద్వారా నడుస్తున్నప్పుడు మాడ్యూల్ సూపర్యూజర్ ద్వారా కాన్ఫిగర్ చేయబడుతుంది మరియు తదుపరి రీబూట్ వరకు మార్పులు చేయకుండా స్తంభింపజేయవచ్చు.
సాధారణ మోడ్లో, సిస్టమ్లో CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) మరియు 21(CAP_SYS_ADMIN) నిలిపివేయబడ్డాయి. tinyware-beforeadmin కమాండ్ (మౌంటు మరియు సామర్థ్యాలు) ఉపయోగించి సిస్టమ్ దాని సాధారణ స్థితికి తిరిగి వస్తుంది. మాడ్యూల్ ఆధారంగా, మీరు సురక్షిత స్థాయిల జీనును అభివృద్ధి చేయవచ్చు. - కోర్ ప్యాచ్ PROC_RESTRICT_ACCESS. ఈ ఐచ్ఛికం /proc/pid డైరెక్టరీలకు /proc ఫైల్ సిస్టమ్లోని యాక్సెస్ను 555 నుండి 750 వరకు పరిమితం చేస్తుంది, అయితే అన్ని డైరెక్టరీల సమూహం రూట్కు కేటాయించబడుతుంది. అందువల్ల, వినియోగదారులు "ps" ఆదేశంతో వారి ప్రక్రియలను మాత్రమే చూస్తారు. రూట్ ఇప్పటికీ సిస్టమ్లోని అన్ని ప్రక్రియలను చూస్తుంది.
- CONFIG_FS_ADVANCED_CHOWN కెర్నల్ ప్యాచ్ సాధారణ వినియోగదారులు తమ డైరెక్టరీలలోని ఫైల్లు మరియు సబ్ డైరెక్టరీల యాజమాన్యాన్ని మార్చడానికి అనుమతిస్తుంది.
- డిఫాల్ట్ సెట్టింగ్లకు కొన్ని మార్పులు (ఉదా. UMASK 077కి సెట్ చేయబడింది).
మూలం: opennet.ru