Подготовлены сборки проекта
اہم
- Установка на 4 раздела «/», «/boot», «/var» и «/home». Разделы «/» и «/boot» монтируются в режиме только для чтения, а «/home» и «/var» в режиме noexec (запрет исполнения);
- Патч к ядру CONFIG_SETCAP. Модуль setcap может отключать заданные системные возможности (capabilities), или включать их для всех пользователей. Модуль настраивается суперпользователем во время работы системы через интерфейс sysctl или файлы /proc/sys/setcap и может замораживаться от внесения изменений до следующей перезагрузки.
В штатном режиме в системе отключены CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) и 21(CAP_SYS_ADMIN). В обычное состояние система переводится командой tinyware-beforeadmin (монтирование и capabilities). На основе модуля можно развить обвязку securelevels. - Патч к ядру PROC_RESTRICT_ACCESS. Данная опция ограничивает доступ к каталогам /proc/pid в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root. Поэтому пользователи видят командой «ps» только свои процессы. Root по прежнему видит все процессы в системе.
- Патч к ядру CONFIG_FS_ADVANCED_CHOWN, позволяющий рядовым пользователям изменять владение файлами и подкаталогами внутри своих каталогов.
- Некоторые изменения настроек по умолчанию (например, UMASK установлен в 077).
ماخذ: opennet.ru