የFedora 40 ልቀት በነባሪ የነቁ የስርዓት አገልግሎቶችን እና እንዲሁም እንደ PostgreSQL፣ Apache httpd፣ Nginx እና MariaDB ካሉ ተልዕኮ-ወሳኝ አፕሊኬሽኖች ጋር የማግለል ቅንብሮችን ማንቃትን ይጠቁማል። ለውጡ በነባሪ ውቅረት ውስጥ የስርጭቱን ደህንነት በከፍተኛ ሁኔታ እንደሚጨምር እና በስርዓት አገልግሎቶች ውስጥ የማይታወቁ ድክመቶችን ለማገድ ያስችላል ተብሎ ይጠበቃል። ፕሮፖዛሉ እስካሁን ድረስ በ FECO (የፌዶራ ኢንጂነሪንግ አስተባባሪ ኮሚቴ) ግምት ውስጥ አልገባም, እሱም የፌዶራ ስርጭትን የማስፋፋት ቴክኒካዊ አካል ነው. በማህበረሰብ የግምገማ ሂደት ወቅት አንድ ሀሳብ ውድቅ ሊደረግ ይችላል።
ለማንቃት የተመከሩ ቅንብሮች፡-
- PrivateTmp=አዎ - ጊዜያዊ ፋይሎች ያላቸው የተለየ ማውጫዎችን ማቅረብ።
- ProtectSystem=አዎ/ሙሉ/ ጥብቅ — የፋይል ስርዓቱን በንባብ-ብቻ ሁነታ (በ “ሙሉ” ሁነታ - /ወዘተ/፣ በጥብቅ ሁነታ - ሁሉም የፋይል ስርዓቶች ከ/dev/፣ /proc/ እና /sys/ በስተቀር)) ይጫኑ።
- ProtectHome=yes—የተጠቃሚ የቤት ማውጫዎችን መድረስ ይከለክላል።
- የግል መሳሪያ=አዎ - መዳረሻን ለ/dev/null፣ /dev/ዜሮ እና /dev/radom ብቻ ትቶ
- ProtectKernelTunables=አዎ - የ/proc/sys/፣ /sys/፣ /proc/acpi፣ /proc/fs፣ /proc/irq፣ ወዘተ ንባብ-ብቻ መዳረሻ።
- ProtectKernelModules=አዎ - የከርነል ሞጁሎችን መጫን ከልክል።
- ProtectKernelLogs=አዎ - በከርነል ምዝግብ ማስታወሻዎች ወደ መያዣው መግባትን ይከለክላል።
- ProtectControlGroups=አዎ - የ/sys/fs/cgroup/ ተነባቢ-ብቻ መዳረሻ
- NoNewPrivileges=አዎ - በሴቱይድ፣ ሴቲጂድ እና የችሎታ ባንዲራዎች በኩል ልዩ መብቶችን ከፍ ማድረግን መከልከል።
- PrivateNetwork=አዎ - የአውታረ መረብ ቁልል በተለየ የስም ቦታ ላይ ማስቀመጥ።
- ProtectClock=አዎ - ሰዓቱን መቀየር ይከለክላል።
- ProtectHostname=አዎ - የአስተናጋጁን ስም መቀየር ይከለክላል።
- ProtectProc=የማይታይ - የሌሎች ሰዎችን ሂደት መደበቅ /proc.
- ተጠቃሚ= - ተጠቃሚን ቀይር
በተጨማሪም፣ የሚከተሉትን ቅንብሮች ለማንቃት ሊያስቡበት ይችላሉ።
- CapabilityBoundingSet=
- DevicePolicy=ተዘጋ
- KeyringMode=የግል
- LockPersonality=አዎ
- MemoryDenyWriteExecute=አዎ
- የግል ተጠቃሚዎች=አዎ
- RemoveIPC=አዎ
- RestrictAddressFamilies=
- RestrictNamespaces=አዎ
- RestrictRealtime=አዎ
- RestrictSUIDSGID=አዎ
- SystemCallFilter=
- SystemCallArchitectures=ቤተኛ
ምንጭ: opennet.ru