Loyiha yig'inlari tayyorlandi
asosiy
- “/”, “/boot”, “/var” va “/home” 4 ta boʻlimga oʻrnatish. “/” va “/ boot” bo‘limlari faqat o‘qish rejimida, “/home” va “/var” esa noexec rejimida o‘rnatiladi;
- CONFIG_SETCAP yadro yamasi. Setcap moduli belgilangan tizim imkoniyatlarini o'chirib qo'yishi yoki ularni barcha foydalanuvchilar uchun yoqishi mumkin. Modul superfoydalanuvchi tomonidan tizim sysctl interfeysi yoki /proc/sys/setcap fayllari orqali ishlayotgan vaqtda sozlanadi va keyingi qayta ishga tushirilgunga qadar o'zgartirishlar kiritilishini muzlatib qo'yish mumkin.
Oddiy rejimda CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3) va 21(CAP_SYS_ADMIN) tizimda o'chirilgan. Tinyware-beforeadmin buyrug'i (o'rnatish va imkoniyatlar) yordamida tizim normal holatiga qaytariladi. Modul asosida siz xavfsiz darajali jabduqni ishlab chiqishingiz mumkin. - Asosiy yamoq PROC_RESTRICT_ACCESS. Ushbu parametr /proc fayl tizimidagi /proc/pid kataloglariga kirishni 555 dan 750 gacha cheklaydi, shu bilan birga barcha kataloglar guruhi ildizga tayinlangan. Shuning uchun, foydalanuvchilar "ps" buyrug'i bilan faqat o'z jarayonlarini ko'rishadi. Root hali ham tizimdagi barcha jarayonlarni ko'radi.
- CONFIG_FS_ADVANCED_CHOWN yadro yamog'i oddiy foydalanuvchilarga o'z kataloglaridagi fayllar va pastki kataloglarning egaligini o'zgartirishga imkon beradi.
- Standart sozlamalardagi ba'zi o'zgarishlar (masalan, UMASK 077 ga o'rnatiladi).
Manba: opennet.ru