Proje montajları hazırlandı
Ana
- “/”, “/boot”, “/var” ve “/home” olmak üzere 4 bölüme kurulum. “/” ve “/boot” bölümleri salt okunur modda bağlanır ve “/home” ve “/var” noexec modunda bağlanır;
- Çekirdek yaması CONFIG_SETCAP. Setcap modülü, belirtilen sistem yeteneklerini devre dışı bırakabilir veya bunları tüm kullanıcılar için etkinleştirebilir. Modül, sistem sysctl arayüzü veya /proc/sys/setcap dosyaları üzerinden çalışırken süper kullanıcı tarafından yapılandırılır ve bir sonraki yeniden başlatmaya kadar değişiklik yapılmadan dondurulabilir.
Normal modda sistemde CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) ve 21(CAP_SYS_ADMIN) devre dışıdır. Sistem, Tinyware-beforeadmin komutunu (montaj ve yetenekler) kullanarak normal durumuna döndürülür. Modülü temel alarak güvenli seviye emniyet kemerini geliştirebilirsiniz. - Çekirdek yaması PROC_RESTRICT_ACCESS. Bu seçenek, /proc dosya sistemindeki /proc/pid dizinlerine erişimi 555'ten 750'ye kadar sınırlandırırken, tüm dizinlerin grubu kök dizinine atanır. Bu nedenle kullanıcılar “ps” komutu ile sadece kendi işlemlerini görmektedir. Root hala sistemdeki tüm işlemleri görüyor.
- CONFIG_FS_ADVANCED_CHOWN çekirdek yaması, normal kullanıcıların kendi dizinleri içindeki dosya ve alt dizinlerin sahipliğini değiştirmesine olanak tanır.
- Varsayılan ayarlarda bazı değişiklikler (örn. UMASK 077 olarak ayarlandı).
Kaynak: opennet.ru