āĻĒā§āĻ°ā§‹āĻšā§‹āĻ¸ā§āĻŸāĻžāĻ° > БĐģĐžĐŗ > āĻ‡āĻ¨ā§āĻŸāĻžāĻ°āĻ¨ā§‡āĻŸ āĻ–āĻŦāĻ° > Fedora 40 āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻ¸āĻžāĻ°ā§āĻ­āĻŋāĻ¸ āĻ†āĻ‡āĻ¸ā§‹āĻ˛ā§‡āĻļāĻ¨ āĻ¸āĻ•ā§āĻ°āĻŋāĻ¯āĻŧ āĻ•āĻ°āĻžāĻ° āĻĒāĻ°āĻŋāĻ•āĻ˛ā§āĻĒāĻ¨āĻž āĻ•āĻ°āĻ›ā§‡

Fedora 40 āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻ¸āĻžāĻ°ā§āĻ­āĻŋāĻ¸ āĻ†āĻ‡āĻ¸ā§‹āĻ˛ā§‡āĻļāĻ¨ āĻ¸āĻ•ā§āĻ°āĻŋāĻ¯āĻŧ āĻ•āĻ°āĻžāĻ° āĻĒāĻ°āĻŋāĻ•āĻ˛ā§āĻĒāĻ¨āĻž āĻ•āĻ°āĻ›ā§‡

Fedora 40 āĻ°āĻŋāĻ˛āĻŋāĻœ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽāĻĄ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻĒāĻ°āĻŋāĻˇā§‡āĻŦāĻžāĻ—ā§āĻ˛āĻŋāĻ° āĻœāĻ¨ā§āĻ¯ āĻ†āĻ‡āĻ¸ā§‹āĻ˛ā§‡āĻļāĻ¨ āĻ¸ā§‡āĻŸāĻŋāĻ‚āĻ¸ āĻ¸āĻ•ā§āĻ°āĻŋāĻ¯āĻŧ āĻ•āĻ°āĻžāĻ° āĻĒāĻ°āĻžāĻŽāĻ°ā§āĻļ āĻĻā§‡āĻ¯āĻŧ āĻ¯āĻž āĻĄāĻŋāĻĢāĻ˛ā§āĻŸāĻ°ā§‚āĻĒā§‡ āĻ¸āĻ•ā§āĻ°āĻŋāĻ¯āĻŧ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¸ā§‡āĻ‡āĻ¸āĻžāĻĨā§‡ PostgreSQL, Apache httpd, Nginx āĻāĻŦāĻ‚ MariaDB-āĻāĻ° āĻŽāĻ¤ā§‹ āĻŽāĻŋāĻļāĻ¨-āĻ¸āĻŽāĻžāĻ˛ā§‹āĻšāĻ¨āĻžāĻŽā§‚āĻ˛āĻ• āĻ…ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻ•ā§‡āĻļāĻ¨āĻ—ā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§‡ āĻĒāĻ°āĻŋāĻˇā§‡āĻŦāĻžāĻ—ā§āĻ˛āĻŋāĨ¤ āĻāĻŸāĻŋ āĻĒā§āĻ°āĻ¤ā§āĻ¯āĻžāĻļāĻŋāĻ¤ āĻ¯ā§‡ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨āĻŸāĻŋ āĻĄāĻŋāĻĢāĻ˛ā§āĻŸ āĻ•āĻ¨āĻĢāĻŋāĻ—āĻžāĻ°ā§‡āĻļāĻ¨ā§‡ āĻŦāĻŋāĻ¤āĻ°āĻŖā§‡āĻ° āĻ¸ā§āĻ°āĻ•ā§āĻˇāĻž āĻ‰āĻ˛ā§āĻ˛ā§‡āĻ–āĻ¯ā§‹āĻ—ā§āĻ¯āĻ­āĻžāĻŦā§‡ āĻŦā§ƒāĻĻā§āĻ§āĻŋ āĻ•āĻ°āĻŦā§‡ āĻāĻŦāĻ‚ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻĒāĻ°āĻŋāĻˇā§‡āĻŦāĻžāĻ—ā§āĻ˛āĻŋāĻ¤ā§‡ āĻ…āĻœāĻžāĻ¨āĻž āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ—ā§āĻ˛āĻŋāĻ•ā§‡ āĻŦā§āĻ˛āĻ• āĻ•āĻ°āĻž āĻ¸āĻŽā§āĻ­āĻŦ āĻ•āĻ°āĻŦā§‡ā§ˇ FESCO (Fedora āĻ‡āĻžā§āĻœāĻŋāĻ¨āĻŋāĻ¯āĻŧāĻžāĻ°āĻŋāĻ‚ āĻ¸ā§āĻŸāĻŋāĻ¯āĻŧāĻžāĻ°āĻŋāĻ‚ āĻ•āĻŽāĻŋāĻŸāĻŋ) āĻāĻ‡ āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦāĻŸāĻŋ āĻāĻ–āĻ¨āĻ“ āĻŦāĻŋāĻŦā§‡āĻšāĻ¨āĻž āĻ•āĻ°ā§‡āĻ¨āĻŋ, āĻ¯ā§‡āĻŸāĻŋ Fedora āĻŦāĻŋāĻ¤āĻ°āĻŖā§‡āĻ° āĻĒā§āĻ°āĻ¯ā§āĻ•ā§āĻ¤āĻŋāĻ—āĻ¤ āĻ…āĻ‚āĻļā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§€āĨ¤ āĻ¸āĻŽā§āĻĒā§āĻ°āĻĻāĻžāĻ¯āĻŧ āĻĒāĻ°ā§āĻ¯āĻžāĻ˛ā§‹āĻšāĻ¨āĻž āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻšāĻ˛āĻžāĻ•āĻžāĻ˛ā§€āĻ¨ āĻāĻ•āĻŸāĻŋ āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦ āĻĒā§āĻ°āĻ¤ā§āĻ¯āĻžāĻ–ā§āĻ¯āĻžāĻ¨ āĻ•āĻ°āĻž āĻ¯ā§‡āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĨ¤

āĻ¸āĻ•ā§āĻˇāĻŽ āĻ•āĻ°āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦāĻŋāĻ¤ āĻ¸ā§‡āĻŸāĻŋāĻ‚āĻ¸:

  • PrivateTmp=yes - āĻ…āĻ¸ā§āĻĨāĻžāĻ¯āĻŧā§€ āĻĢāĻžāĻ‡āĻ˛ā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻ†āĻ˛āĻžāĻĻāĻž āĻĄāĻŋāĻ°ā§‡āĻ•ā§āĻŸāĻ°āĻŋ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻ•āĻ°ā§‡āĨ¤
  • ProtectSystem=yes/full/strict — āĻĢāĻžāĻ‡āĻ˛ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽāĻ•ā§‡ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ°-āĻĒāĻ āĻ¨ āĻŽā§‹āĻĄā§‡ āĻŽāĻžāĻ‰āĻ¨ā§āĻŸ āĻ•āĻ°ā§‡ (“āĻĒā§‚āĻ°ā§āĻŖ” āĻŽā§‹āĻĄā§‡ - /etc/, āĻ•āĻ ā§‹āĻ° āĻŽā§‹āĻĄā§‡ - /dev/, /proc/ āĻāĻŦāĻ‚ /sys/ āĻ›āĻžāĻĄāĻŧāĻž āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĢāĻžāĻ‡āĻ˛ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ)āĨ¤
  • ProtectHome=yes—āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€āĻ° āĻšā§‹āĻŽ āĻĄāĻŋāĻ°ā§‡āĻ•ā§āĻŸāĻ°āĻŋāĻ¤ā§‡ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻ…āĻ¸ā§āĻŦā§€āĻ•āĻžāĻ° āĻ•āĻ°ā§‡āĨ¤
  • PrivateDevices=yes - āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° /dev/null, /dev/zero āĻāĻŦāĻ‚ /dev/random-āĻ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻ°ā§‡āĻ–ā§‡
  • ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, āĻ‡āĻ¤ā§āĻ¯āĻžāĻĻāĻŋāĻ¤ā§‡ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻĒāĻ āĻ¨āĻ¯ā§‹āĻ—ā§āĻ¯ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸āĨ¤
  • ProtectKernelModules=yes - āĻ•āĻžāĻ°ā§āĻ¨ā§‡āĻ˛ āĻŽāĻĄāĻŋāĻ‰āĻ˛ āĻ˛ā§‹āĻĄ āĻ•āĻ°āĻž āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§āĨ¤
  • ProtectKernelLogs=yes - āĻ•āĻžāĻ°ā§āĻ¨ā§‡āĻ˛ āĻ˛āĻ— āĻ¸āĻš āĻŦāĻžāĻĢāĻžāĻ° āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§ āĻ•āĻ°ā§‡āĨ¤
  • ProtectControlGroups=āĻšā§āĻ¯āĻžāĻ - /sys/fs/cgroup/-āĻ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻĒāĻ āĻ¨āĻ¯ā§‹āĻ—ā§āĻ¯ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸
  • NoNewPrivileges=yes - setuid, setgid āĻāĻŦāĻ‚ capabilities āĻĢā§āĻ˛ā§āĻ¯āĻžāĻ—ā§‡āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§‡ āĻŦāĻŋāĻļā§‡āĻˇāĻžāĻ§āĻŋāĻ•āĻžāĻ°ā§‡āĻ° āĻ‰āĻšā§āĻšāĻ¤āĻž āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§ āĻ•āĻ°āĻžāĨ¤
  • PrivateNetwork=yes - āĻ¨ā§‡āĻŸāĻ“āĻ¯āĻŧāĻžāĻ°ā§āĻ• āĻ¸ā§āĻŸā§āĻ¯āĻžāĻ•ā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻĒā§ƒāĻĨāĻ• āĻ¨āĻžāĻŽāĻ¸ā§āĻĨāĻžāĻ¨ā§‡ āĻŦāĻ¸āĻžāĻ¨ā§‹āĨ¤
  • ProtectClock=āĻšā§āĻ¯āĻžāĻâ€”āĻ¸āĻŽāĻ¯āĻŧ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻ•āĻ°āĻž āĻ¨āĻŋāĻˇā§‡āĻ§āĨ¤
  • ProtectHostname=yes - āĻšā§‹āĻ¸ā§āĻŸā§‡āĻ° āĻ¨āĻžāĻŽ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻ•āĻ°āĻž āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§āĨ¤
  • ProtectProc=invisible - /proc-āĻ āĻ…āĻ¨ā§āĻ¯ āĻ˛ā§‹āĻ•ā§‡āĻĻā§‡āĻ° āĻĒā§āĻ°āĻ¸ā§‡āĻ¸ āĻ˛ā§āĻ•āĻŋāĻ¯āĻŧā§‡ āĻ°āĻžāĻ–āĻžāĨ¤
  • āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ = - āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻ•āĻ°ā§āĻ¨

āĻ…āĻ¤āĻŋāĻ°āĻŋāĻ•ā§āĻ¤āĻ­āĻžāĻŦā§‡, āĻ†āĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻ¸ā§‡āĻŸāĻŋāĻ‚āĻ¸ āĻ¸āĻ•ā§āĻˇāĻŽ āĻ•āĻ°āĻžāĻ° āĻ•āĻĨāĻž āĻŦāĻŋāĻŦā§‡āĻšāĻ¨āĻž āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĻ¨:

  • āĻ•ā§āĻ¯āĻžāĻĒāĻžāĻŦāĻŋāĻ˛āĻŋāĻŸāĻŋ āĻŦāĻžāĻ‰āĻ¨ā§āĻĄāĻŋāĻ‚ āĻ¸ā§‡āĻŸ=
  • DevicePolicy=āĻŦāĻ¨ā§āĻ§
  • āĻ•ā§€āĻ°āĻŋāĻ‚āĻŽā§‹āĻĄ=āĻĒā§āĻ°āĻžāĻ‡āĻ­ā§‡āĻŸ
  • āĻ˛āĻ• āĻŦā§āĻ¯āĻ•ā§āĻ¤āĻŋāĻ¤ā§āĻŦ = āĻšā§āĻ¯āĻžāĻ
  • MemoryDenyWriteExecute=āĻšā§āĻ¯āĻžāĻ
  • āĻŦā§āĻ¯āĻ•ā§āĻ¤āĻŋāĻ—āĻ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ = āĻšā§āĻ¯āĻžāĻ
  • āĻ°āĻŋāĻŽā§āĻ­āĻ†āĻ‡āĻĒāĻŋāĻ¸āĻŋ=āĻšā§āĻ¯āĻžāĻ
  • RestrictAddressFamilies=
  • RestrictNamespaces=āĻšā§āĻ¯āĻžāĻ
  • RestrictRealtime=āĻšā§āĻ¯āĻžāĻ
  • RestrictSUIDSGID=āĻšā§āĻ¯āĻžāĻ
  • āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽāĻ•āĻ˛āĻĢāĻŋāĻ˛ā§āĻŸāĻžāĻ°=
  • āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽāĻ•āĻ˛āĻ†āĻ°ā§āĻ•āĻŋāĻŸā§‡āĻ•āĻšāĻžāĻ°=āĻ¨ā§‡āĻŸāĻŋāĻ­

āĻ‰āĻ¤ā§āĻ¸: opennet.ru

āĻāĻ•āĻŸāĻŋ āĻŽāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻœā§āĻĄāĻŧā§āĻ¨