項目集已準備就緒
主要的
- 安裝在「/」、「/boot」、「/var」和「/home」4個分割區上。 “/”和“/boot”分區以唯讀模式掛載,“/home”和“/var”以noexec模式掛載;
- 核心補丁 CONFIG_SETCAP。 setcap 模組可以停用指定的系統功能或為所有使用者啟用它們。 此模組由超級使用者在系統運行時透過 sysctl 介面或 /proc/sys/setcap 檔案進行配置,並且可以凍結進行更改,直到下次重新啟動為止。
在正常模式下,系統中停用 CAP_CHOWN(0)、CAP_DAC_OVERRIDE(1)、CAP_DAC_READ_SEARCH(2)、CAP_FOWNER(3) 和 21(CAP_SYS_ADMIN)。 使用tinyware-beforeadmin 指令(安裝和功能)將系統回到正常狀態。 基於此模組,您可以開發 securelevels 工具。 - 核心補丁PROC_RESTRICT_ACCESS。 此選項將對 /proc 檔案系統中 /proc/pid 目錄的存取權限限制為 555 到 750,同時將所有目錄的群組指派給 root。 因此,使用者使用“ps”命令只能看到他們的進程。 Root 仍然可以看到系統中的所有進程。
- CONFIG_FS_ADVANCED_CHOWN 核心修補程式允許普通使用者更改其目錄中的檔案和子目錄的所有權。
- 對預設設定的一些變更(例如 UMASK 設定為 077)。
來源: opennet.ru