ProHoster > Blog > naidheachdan eadar-lìn > Tha Fedora 40 an dùil aonaranachd seirbheis siostam a chomasachadh

Tha Fedora 40 an dùil aonaranachd seirbheis siostam a chomasachadh

Tha an sgaoileadh Fedora 40 a’ moladh a bhith a’ comasachadh shuidheachaidhean aonaranachd airson seirbheisean siostam siostaim a tha air an comasachadh gu bunaiteach, a bharrachd air seirbheisean le tagraidhean a tha deatamach do mhisean leithid PostgreSQL, Apache httpd, Nginx, agus MariaDB. Thathas an dùil gun àrdaich an t-atharrachadh gu mòr tèarainteachd an t-sgaoilidh anns an rèiteachadh bunaiteach agus gun dèan e comasach casg a chuir air so-leòntachd neo-aithnichte ann an seirbheisean siostam. Cha deach beachdachadh air a’ mholadh fhathast leis an FESCo (Comataidh Stiùiridh Fedora Engineering), air a bheil uallach airson a’ phàirt theicnigeach de leasachadh cuairteachadh Fedora. Dh’ fhaodadh moladh a bhith air a dhiùltadh cuideachd tron ​​phròiseas ath-bhreithneachaidh coimhearsnachd.

Suidhichidhean a thathar a’ moladh gus a dhèanamh comasach:

  • PrivateTmp=tha - a’ toirt seachad clàran fa leth le faidhlichean sealach.
  • ProtectSystem = tha / làn / teann - cuir suas an siostam faidhle ann am modh leughaidh a-mhàin (ann am modh “làn” - / etc/, ann am modh teann - a h-uile siostam faidhle ach a-mhàin /dev/, / proc/ agus / sys/).
  • ProtectHome=tha - a' diùltadh cothrom air clàran dachaigh luchd-cleachdaidh.
  • PrivateDevices = tha - a’ fàgail ruigsinneachd a-mhàin gu /dev/null, /dev/zero agus /dev/random
  • ProtectKernelTunables = tha - ruigsinneachd leughaidh a-mhàin gu /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=tha - cuir casg air luchdachadh mhodalan kernel.
  • ProtectKernelLogs=tha - a' toirmeasg inntrigeadh dhan bhufair le logaichean kernel.
  • ProtectControlGroups=tha - ruigsinneachd leughaidh a-mhàin gu /sys/fs/cgroup/
  • NoNewPrivileges=tha - a' toirmeasg àrdachadh shochairean tro na brataichean setuid, setgid agus comasan.
  • PrivateNetwork=tha - suidheachadh ann an àite-ainm fa leth den stac lìonra.
  • ProtectClock=tha - cuir casg air an ùine atharrachadh.
  • ProtectHostname = tha - a’ toirmeasg ainm an òstair atharrachadh.
  • ProtectProc= do-fhaicsinneach - a’ falach pròiseasan dhaoine eile ann an /proc.
  • Cleachdaiche = - atharraich cleachdaiche

A bharrachd air an sin, faodaidh tu beachdachadh air na roghainnean a leanas a chomasachadh:

  • CapabilityBoundingSet=
  • DevicePolicy=dùinte
  • KeyringMode=prìobhaideach
  • LockPersonality=tha
  • MemoryDenyWriteExecute=tha
  • PrivateUsers=tha
  • RemoveIPC=tha
  • RestrictAddressFamiies=
  • RestrictNamespaces=tha
  • RestrictRealtime=tha
  • RestrictSUIDSGID=tha
  • SystemCallFilter=
  • SystemCallArchitectures=dùthchasach

Source: fosgailtenet.ru

Cuir beachd ann