项目组件已准备就绪
主
- 安装在“/”、“/boot”、“/var”和“/home”4个分区上。 “/”和“/boot”分区以只读模式挂载,“/home”和“/var”以noexec模式挂载;
- 内核补丁 CONFIG_SETCAP。 setcap 模块可以禁用指定的系统功能或为所有用户启用它们。 该模块由超级用户在系统通过 sysctl 接口或 /proc/sys/setcap 文件运行时进行配置,并且可以冻结进行更改,直到下次重新启动为止。
在正常模式下,系统中禁用 CAP_CHOWN(0)、CAP_DAC_OVERRIDE(1)、CAP_DAC_READ_SEARCH(2)、CAP_FOWNER(3) 和 21(CAP_SYS_ADMIN)。 使用tinyware-beforeadmin 命令(安装和功能)将系统返回到正常状态。 基于该模块,您可以开发 securelevels 工具。 - 核心补丁PROC_RESTRICT_ACCESS。 此选项将对 /proc 文件系统中 /proc/pid 目录的访问权限限制为 555 到 750,同时将所有目录的组分配给 root。 因此,用户使用“ps”命令只能看到他们的进程。 Root 仍然可以看到系统中的所有进程。
- CONFIG_FS_ADVANCED_CHOWN 内核补丁允许普通用户更改其目录中的文件和子目录的所有权。
- 对默认设置的一些更改(例如 UMASK 设置为 077)。
来源: opennet.ru