ProHoster > Блог > balita sa internet > Ang Fedora 40 nagplano nga mahimo ang pag-inusara sa serbisyo sa sistema

Ang Fedora 40 nagplano nga mahimo ang pag-inusara sa serbisyo sa sistema

Ang pagpagawas sa Fedora 40 nagsugyot sa pagpagana sa mga setting sa pag-inusara alang sa mga serbisyo sa systemd system nga gipagana pinaagi sa default, ingon man mga serbisyo nga adunay kritikal nga mga aplikasyon sama sa PostgreSQL, Apache httpd, Nginx, ug MariaDB. Gilauman nga ang pagbag-o labi nga madugangan ang seguridad sa pag-apod-apod sa default nga pag-configure ug mahimo’g posible nga babagan ang wala mailhi nga mga kahuyangan sa mga serbisyo sa sistema. Ang sugyot wala pa gikonsiderar sa FESCo (Fedora Engineering Steering Committee), nga maoy responsable sa teknikal nga bahin sa pagpalambo sa Fedora distribution. Ang usa ka sugyot mahimo usab nga isalikway sa panahon sa proseso sa pagrepaso sa komunidad.

Girekomenda nga mga setting aron mahimo:

  • PrivateTmp=oo - naghatag ug bulag nga mga direktoryo nga adunay temporaryo nga mga file.
  • ProtectSystem=yes/full/strict — nag-mount sa file system sa read-only mode (sa “full” mode - /etc/, sa strict mode - tanang file system gawas sa /dev/, /proc/ ug /sys/).
  • ProtectHome=oo—nagdumili sa pag-access sa mga direktoryo sa balay sa user.
  • PrivateDevices=oo - nagbilin ug access lamang sa / dev / null, / dev / zero ug / dev / random
  • ProtectKernelTunables=oo - read-only access sa /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=oo - idili ang pagkarga sa kernel modules.
  • ProtectKernelLogs=oo - nagdili sa pag-access sa buffer nga adunay mga kernel log.
  • ProtectControlGroups=oo - read-only access sa /sys/fs/cgroup/
  • NoNewPrivileges=oo - nagdili sa pagpataas sa mga pribilehiyo pinaagi sa setuid, setgid ug capabilities flags.
  • PrivateNetwork=oo - pagbutang sa bulag nga namespace sa network stack.
  • ProtectClock=oo—pagdili sa pag-usab sa oras.
  • ProtectHostname=oo - nagdili sa pag-ilis sa ngalan sa host.
  • ProtectProc=invisible - pagtago sa mga proseso sa ubang tawo sa /proc.
  • User= - usba ang user

Dugang pa, mahimo nimong ikonsiderar ang pagpagana sa mosunod nga mga setting:

  • CapabilityBoundingSet=
  • DevicePolicy=sirado
  • KeyringMode=pribado
  • LockPersonality=oo
  • MemoryDenyWriteExecute=oo
  • PrivateUsers=oo
  • RemoveIPC=oo
  • RestrictAddressFamilies=
  • RestrictNamespaces=oo
  • RestrictRealtime=oo
  • RestrictSUIDSGID=oo
  • SystemCallFilter=
  • SystemCallArchitectures=lumad

Source: opennet.ru

Idugang sa usa ka comment