ProHoster > Blog > newyddion rhyngrwyd > Mae Fedora 40 yn bwriadu galluogi ynysu gwasanaethau system

Mae Fedora 40 yn bwriadu galluogi ynysu gwasanaethau system

Mae Fedora 40 yn cynnig galluogi gosodiadau ynysu ar gyfer gwasanaethau systemd diofyn, yn ogystal â gwasanaethau sy'n rhedeg cymwysiadau hanfodol fel PostgreSQL, Apache httpd, Nginx, a MariaDB. Disgwylir i'r newid hwn wella diogelwch y dosbarthiad yn sylweddol yn ei ffurfweddiad diofyn a galluogi blocio gwendidau anhysbys mewn gwasanaethau system. Nid yw'r cynnig wedi'i adolygu eto gan FESCo (Pwyllgor Llywio Peirianneg Fedora), y pwyllgor datblygu technegol ar gyfer dosbarthiad Fedora. Efallai y bydd y cynnig hefyd yn cael ei wrthod yn ystod y broses adolygu gymunedol.

Gosodiadau a argymhellir i'w galluogi:

  • PrivateTmp=ie — darparu cyfeiriaduron ar wahân gyda ffeiliau dros dro.
  • ProtectSystem=yes/full/strict — mowntio systemau ffeiliau mewn modd darllen yn unig (mewn modd “full” — /etc/, mewn modd llym — pob system ffeiliau ac eithrio /dev/, /proc/ a /sys/).
  • ProtectHome=yes — yn gwahardd mynediad i gyfeiriaduron cartref defnyddwyr.
  • DyfeisiauPreifat=ie — gan adael mynediad i /dev/null, /dev/zero, a /dev/random yn unig
  • ProtectKernelTunables=yes — mynediad darllen yn unig i /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ac ati.
  • ProtectKernelModules=yes — analluogi llwytho modiwlau cnewyllyn.
  • ProtectKernelLogs=yes — yn analluogi mynediad i'r byffer log cnewyllyn.
  • ProtectControlGroups=ie — mynediad darllen yn unig i /sys/fs/cgroup/
  • DimBreintiauNewydd=yes — yn analluogi cynyddu breintiau trwy'r baneri setuid, setgid, a capabilities.
  • RhwydwaithPreifat=ie — yn ei osod mewn gofod enwau pentwr rhwydwaith ar wahân.
  • ProtectClock=yes — yn gwahardd newid yr amser.
  • ProtectHostname=yes — yn gwahardd newid enw'r gwesteiwr.
  • ProtectProc=anweledig — yn cuddio prosesau eraill yn /proc.
  • Defnyddiwr= — newid defnyddiwr

Yn ogystal, gellir ystyried y gosodiadau canlynol:

  • SetFfinoGallu=
  • PolisiDyfais=ar gau
  • ModdAllweddi=preifat
  • CloiPersonoliaeth=ie
  • MemoryDenyWriteExecute=ie
  • DefnyddwyrPreifat=ie
  • DileuIPC=ie
  • CyfynguCyfeiriadauTeuluoedd=
  • CyfynguBylchauEnwau=ie
  • CyfynguAmserReal=ie
  • CyfynguSUIDSGID=ie
  • HidlyddGalwadSystem=
  • Pensaernïaeth GalwadauSystem=brodorol

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd â diogelwch DDoS, gweinyddwyr VPS VDS 🔥 Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster