Tha an sgaoileadh Fedora 40 a’ moladh a bhith a’ comasachadh shuidheachaidhean aonaranachd airson seirbheisean siostam siostaim a tha air an comasachadh gu bunaiteach, a bharrachd air seirbheisean le tagraidhean a tha deatamach do mhisean leithid PostgreSQL, Apache httpd, Nginx, agus MariaDB. Thathas an dùil gun àrdaich an t-atharrachadh gu mòr tèarainteachd an t-sgaoilidh anns an rèiteachadh bunaiteach agus gun dèan e comasach casg a chuir air so-leòntachd neo-aithnichte ann an seirbheisean siostam. Cha deach beachdachadh air a’ mholadh fhathast leis an FESCo (Comataidh Stiùiridh Fedora Engineering), air a bheil uallach airson a’ phàirt theicnigeach de leasachadh cuairteachadh Fedora. Dh’ fhaodadh moladh a bhith air a dhiùltadh cuideachd tron phròiseas ath-bhreithneachaidh coimhearsnachd.
Suidhichidhean a thathar a’ moladh gus a dhèanamh comasach:
- PrivateTmp=tha - a’ toirt seachad clàran fa leth le faidhlichean sealach.
- ProtectSystem = tha / làn / teann - cuir suas an siostam faidhle ann am modh leughaidh a-mhàin (ann am modh “làn” - / etc/, ann am modh teann - a h-uile siostam faidhle ach a-mhàin /dev/, / proc/ agus / sys/).
- ProtectHome=tha - a' diùltadh cothrom air clàran dachaigh luchd-cleachdaidh.
- PrivateDevices = tha - a’ fàgail ruigsinneachd a-mhàin gu /dev/null, /dev/zero agus /dev/random
- ProtectKernelTunables = tha - ruigsinneachd leughaidh a-mhàin gu /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
- ProtectKernelModules=tha - cuir casg air luchdachadh mhodalan kernel.
- ProtectKernelLogs=tha - a' toirmeasg inntrigeadh dhan bhufair le logaichean kernel.
- ProtectControlGroups=tha - ruigsinneachd leughaidh a-mhàin gu /sys/fs/cgroup/
- NoNewPrivileges=tha - a' toirmeasg àrdachadh shochairean tro na brataichean setuid, setgid agus comasan.
- PrivateNetwork=tha - suidheachadh ann an àite-ainm fa leth den stac lìonra.
- ProtectClock=tha - cuir casg air an ùine atharrachadh.
- ProtectHostname = tha - a’ toirmeasg ainm an òstair atharrachadh.
- ProtectProc= do-fhaicsinneach - a’ falach pròiseasan dhaoine eile ann an /proc.
- Cleachdaiche = - atharraich cleachdaiche
A bharrachd air an sin, faodaidh tu beachdachadh air na roghainnean a leanas a chomasachadh:
- CapabilityBoundingSet=
- DevicePolicy=dùinte
- KeyringMode=prìobhaideach
- LockPersonality=tha
- MemoryDenyWriteExecute=tha
- PrivateUsers=tha
- RemoveIPC=tha
- RestrictAddressFamiies=
- RestrictNamespaces=tha
- RestrictRealtime=tha
- RestrictSUIDSGID=tha
- SystemCallFilter=
- SystemCallArchitectures=dùthchasach
Source: fosgailtenet.ru