ProHoster > Blag > nuacht idirlín > Tá sé beartaithe ag Fedora 40 aonrú seirbhíse córais a chumasú

Tá sé beartaithe ag Fedora 40 aonrú seirbhíse córais a chumasú

Molann scaoileadh Fedora 40 socruithe leithlisithe a chumasú do sheirbhísí córais siste atá cumasaithe de réir réamhshocraithe, chomh maith le seirbhísí le feidhmchláir atá ríthábhachtach do mhisin mar PostgreSQL, Apache httpd, Nginx, agus MariaDB. Táthar ag súil go méadóidh an t-athrú go mór slándáil an dáileacháin sa chumraíocht réamhshocraithe agus go mbeidh sé indéanta bac a chur ar leochaileachtaí anaithnid i seirbhísí córais. Níor bhreithnigh an FESCo (Coiste Stiúrtha Innealtóireachta Fedora) an togra go fóill, atá freagrach as an gcuid theicniúil d’fhorbairt dháileadh Fedora. Féadfar togra a dhiúltú freisin le linn an phróisis athbhreithnithe pobail.

Socruithe molta chun:

  • PrivateTmp=tá - ag soláthar eolairí ar leith le comhaid shealadacha.
  • ProtectSystem=tá/full/strict — cuir an córas comhaid i mód inléite amháin (i mód “lán” - /etc/, i mód dian - gach córas comhaid ach amháin /dev/, /proc/ agus /sys/).
  • ProtectHome=tá - diúltaíonn sé rochtain ar eolairí baile úsáideoirí.
  • PrivateDevices=tá - ag fágáil rochtain amháin ar /dev/null, /dev/zero agus /dev/random
  • ProtectKernelTunables=tá - rochtain inléite amháin ar /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=tá - cosc ​​ar lódáil modúil eithne.
  • ProtectKernelLogs=tá - cosc ​​ar rochtain ar an maolán le logaí eithne.
  • ProtectControlGroups=tá - rochtain inléite amháin ar /sys/fs/cgroup/
  • NoNewPrivileges=tá - cosc ​​ar ardú pribhléidí trí na bratacha setuid, setgid agus cumais.
  • PrivateNetwork=tá - socrúchán in ainmspás ar leith den chruach líonra.
  • ProtectClock=tá - cuir cosc ​​ar an am a athrú.
  • ProtectHostname=tá - cosc ​​ar an óstainm a athrú.
  • ProtectProc=dofheicthe - próisis daoine eile a chur i bhfolach in /proc.
  • Úsáideoir= - athraigh úsáideoir

Ina theannta sin, is féidir leat smaoineamh ar na socruithe seo a leanas a chumasú:

  • CapabilityBoundingSet=
  • DevicePolicy=dúnta
  • KeyringMode=príobháideach
  • LockPearsantacht=tá
  • MemoryDenyWriteExecute=tá
  • PrivateUsers=tá
  • Bain IPC=tá
  • RestrictAddressFamily=
  • RestrictNamespaces=tá
  • RestrictRealtime=tá
  • SrictSUIDSGID=tá
  • SystemCallFilter=
  • SystemCallArchitectures=dúchais

Foinse: oscailtenet.ru

Add a comment