ProHoster > Blog > internet xəbərləri > Fedora 40 sistem xidmətinin izolyasiyasını aktivləşdirməyi planlaşdırır

Fedora 40 sistem xidmətinin izolyasiyasını aktivləşdirməyi planlaşdırır

Fedora 40 buraxılışı defolt olaraq aktivləşdirilmiş sistem sistem xidmətləri, həmçinin PostgreSQL, Apache httpd, Nginx və MariaDB kimi kritik missiya tətbiqləri ilə xidmətlər üçün izolyasiya parametrlərini işə salmağı təklif edir. Ehtimal olunur ki, dəyişiklik standart konfiqurasiyada paylanmanın təhlükəsizliyini əhəmiyyətli dərəcədə artıracaq və sistem xidmətlərində naməlum boşluqları bloklamağa imkan verəcək. Fedora paylanmasının inkişafının texniki hissəsinə cavabdeh olan FESCo (Fedora Mühəndislik İdarəetmə Komitəsi) bu təklifə hələ baxılmayıb. Təklif icmanın nəzərdən keçirilməsi prosesi zamanı da rədd edilə bilər.

Aktivləşdirmək üçün tövsiyə olunan parametrlər:

  • PrivateTmp=yes - ayrı-ayrı qovluqları müvəqqəti fayllarla təmin etmək.
  • ProtectSystem=yes/full/strict — fayl sistemini yalnız oxumaq rejimində quraşdırın (“tam” rejimdə - /etc/, ciddi rejimdə - /dev/, /proc/ və /sys/ istisna olmaqla, bütün fayl sistemləri).
  • ProtectHome=yes—istifadəçinin ev kataloqlarına girişi rədd edir.
  • PrivateDevices=bəli - yalnız /dev/null, /dev/zero və /dev/random-a girişi tərk edir
  • ProtectKernelTunables=bəli - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq və s.-ə yalnız oxumaq üçün giriş.
  • ProtectKernelModules=yes - kernel modullarının yüklənməsini qadağan edin.
  • ProtectKernelLogs=yes - nüvə qeydləri ilə buferə girişi qadağan edir.
  • ProtectControlGroups=bəli - /sys/fs/cgroup/-a yalnız oxumaq üçün giriş
  • NoNewPrivileges=bəli - setuid, setgid və imkanlar bayraqları vasitəsilə imtiyazların artırılmasını qadağan edir.
  • PrivateNetwork=bəli - şəbəkə yığınının ayrıca ad məkanında yerləşdirilməsi.
  • ProtectClock=bəli—vaxtın dəyişdirilməsini qadağan edin.
  • ProtectHostname=yes - host adının dəyişdirilməsini qadağan edir.
  • ProtectProc=görünməz - digər insanların proseslərini /proc-da gizlədir.
  • İstifadəçi= - istifadəçini dəyişdirin

Əlavə olaraq, aşağıdakı parametrləri aktivləşdirməyi düşünə bilərsiniz:

  • CapabilityBoundingSet=
  • DevicePolicy=qapalı
  • KeyringMode=özəl
  • LockPersonality=bəli
  • MemoryDenyWriteExecute=bəli
  • PrivateUsers=bəli
  • IPC-ni çıxarın=bəli
  • MəhdudlaşdırmaAddressFamilies=
  • RestrictNamespaces=bəli
  • RestrictRealtime=bəli
  • RestrictSUIDSGID=bəli
  • SystemCallFilter=
  • SystemCallArchitectures=doğma

Mənbə: opennet.ru

Добавить комментарий