ได้เตรียมโครงการประกอบแล้ว
หลัก
- การติดตั้งบน 4 พาร์ติชั่น “/”, “/boot”, “/var” และ “/home” พาร์ติชั่น “/” และ “/boot” จะถูกเมาท์ในโหมดอ่านอย่างเดียว และ “/home” และ “/var” จะถูกเมาท์ในโหมด noexec
- เคอร์เนลแพตช์ CONFIG_SETCAP โมดูล setcap สามารถปิดใช้งานความสามารถของระบบที่ระบุหรือเปิดใช้งานสำหรับผู้ใช้ทั้งหมด โมดูลได้รับการกำหนดค่าโดย superuser ในขณะที่ระบบกำลังทำงานผ่านอินเทอร์เฟซ sysctl หรือไฟล์ /proc/sys/setcap และสามารถหยุดไม่ให้ทำการเปลี่ยนแปลงจนกว่าจะรีบูตครั้งถัดไป
ในโหมดปกติ CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) และ 21(CAP_SYS_ADMIN) จะถูกปิดใช้งานในระบบ ระบบจะกลับสู่สถานะปกติโดยใช้คำสั่ง Tinyware-beforreadmin (การติดตั้งและความสามารถ) ขึ้นอยู่กับโมดูล คุณสามารถพัฒนาสายรัดระดับความปลอดภัยได้ - แพทช์หลัก PROC_RESTRICT_ACCESS อ็อพชันนี้จำกัดการเข้าถึงไดเร็กทอรี /proc/pid ในระบบไฟล์ /proc จาก 555 ถึง 750 ในขณะที่กลุ่มของไดเร็กทอรีทั้งหมดถูกกำหนดให้กับ root ดังนั้นผู้ใช้จะเห็นเฉพาะกระบวนการของตนด้วยคำสั่ง "ps" รูทยังคงเห็นกระบวนการทั้งหมดในระบบ
- CONFIG_FS_ADVANCED_CHOWN แพทช์เคอร์เนลเพื่อให้ผู้ใช้ทั่วไปสามารถเปลี่ยนความเป็นเจ้าของไฟล์และไดเรกทอรีย่อยภายในไดเรกทอรีของตนได้
- การเปลี่ยนแปลงการตั้งค่าเริ่มต้นบางอย่าง (เช่น UMASK ตั้งค่าเป็น 077)
ที่มา: opennet.ru