ProHoster > blog > newyddion rhyngrwyd > Mae Fedora 40 yn bwriadu galluogi ynysu gwasanaethau system

Mae Fedora 40 yn bwriadu galluogi ynysu gwasanaethau system

Mae datganiad Fedora 40 yn awgrymu galluogi gosodiadau ynysu ar gyfer gwasanaethau system systemd sy'n cael eu galluogi yn ddiofyn, yn ogystal â gwasanaethau gyda chymwysiadau hanfodol fel PostgreSQL, Apache httpd, Nginx, a MariaDB. Disgwylir y bydd y newid yn cynyddu diogelwch y dosbarthiad yn sylweddol yn y ffurfweddiad diofyn a bydd yn ei gwneud hi'n bosibl rhwystro gwendidau anhysbys mewn gwasanaethau system. Nid yw'r cynnig wedi'i ystyried eto gan y FESCo (Pwyllgor Llywio Peirianneg Fedora), sy'n gyfrifol am ran dechnegol datblygu dosbarthiad Fedora. Gall cynnig gael ei wrthod hefyd yn ystod y broses adolygu cymunedol.

Gosodiadau a argymhellir i alluogi:

  • PrivateTmp=ie - darparu cyfeiriaduron ar wahân gyda ffeiliau dros dro.
  • ProtectSystem = ie / llawn / caeth - gosodwch y system ffeiliau yn y modd darllen yn unig (yn y modd “llawn” - /etc/, yn y modd llym - pob system ffeil ac eithrio /dev/, /proc/ a /sys/).
  • ProtectHome=ie—yn gwadu mynediad i gyfeiriaduron cartref defnyddwyr.
  • PrivateDevices=ie - gadael mynediad yn unig i /dev/null, /dev/zero a /dev/random
  • ProtectKernelTunables=ie - mynediad darllen yn unig i /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ac ati.
  • ProtectKernelModules=ie - gwahardd llwytho modiwlau cnewyllyn.
  • ProtectKernelLogs=ie - yn gwahardd mynediad i'r byffer gyda logiau cnewyllyn.
  • ProtectControlGroups=ie - mynediad darllen yn unig i /sys/fs/cgroup/
  • NoNewPrivileges=ie - gwahardd dyrchafu breintiau trwy'r baneri setuid, setgid a galluoedd.
  • PrivateNetwork=ie - lleoliad mewn gofod enw ar wahân o'r pentwr rhwydwaith.
  • ProtectClock=ie - gwahardd newid yr amser.
  • ProtectHostname=ie - yn gwahardd newid enw'r gwesteiwr.
  • ProtectProc=anweledig - cuddio prosesau pobl eraill yn /proc.
  • Defnyddiwr = - newid defnyddiwr

Yn ogystal, efallai y byddwch yn ystyried galluogi'r gosodiadau canlynol:

  • CapabilityBoundingSet=
  • DevicePolicy=ar gau
  • KeyringMode=preifat
  • LockPersonoliaeth=ie
  • MemoryDenyWriteExecute=ie
  • PrivateUsers=ie
  • RemoveIPC=ie
  • RestrictAddressTeuluoedd=
  • RestrictNamespaces=ie
  • RestrictRealtime=ie
  • Cyfyngu SUIDSGID=ie
  • SystemCallFilter=
  • SystemCallArchitectures=brodorol

Ffynhonnell: opennet.ru

Ychwanegu sylw