ProHoster > Օրագիր > ինտերնետ նորություններ > Fedora 40-ը նախատեսում է միացնել համակարգի սպասարկման մեկուսացումը

Fedora 40-ը նախատեսում է միացնել համակարգի սպասարկման մեկուսացումը

Fedora 40-ի թողարկումն առաջարկում է միացնել մեկուսացման կարգավորումները համակարգային համակարգի ծառայությունների համար, որոնք միացված են լռելյայն, ինչպես նաև առաքելության համար կարևոր հավելվածներով, ինչպիսիք են PostgreSQL, Apache httpd, Nginx և MariaDB: Ակնկալվում է, որ փոփոխությունը զգալիորեն կբարձրացնի բաշխման անվտանգությունը լռելյայն կազմաձևում և հնարավորություն կտա արգելափակել համակարգի ծառայություններում անհայտ խոցելիությունները: Առաջարկը դեռ չի դիտարկվել FESCO-ի կողմից (Fedora Engineering Steering Committee), որը պատասխանատու է Fedora-ի բաշխման զարգացման տեխնիկական մասի համար: Առաջարկը կարող է նաև մերժվել համայնքի վերանայման գործընթացում:

Առաջարկվող կարգավորումները միացնելու համար՝

  • PrivateTmp=այո - տրամադրելով առանձին գրացուցակներ ժամանակավոր ֆայլերով:
  • ProtectSystem=yes/full/strict — միացրեք ֆայլային համակարգը միայն կարդալու ռեժիմով («լրիվ» ռեժիմում՝ /etc/, խիստ ռեժիմում՝ բոլոր ֆայլային համակարգերը, բացառությամբ /dev/, /proc/ և /sys/):
  • ProtectHome=այո—մերժում է մուտքը օգտվողի տնային գրացուցակներ:
  • PrivateDevices=yes - մուտքը թողնելով միայն /dev/null, /dev/zero և /dev/random
  • ProtectKernelTunables=այո - միայն կարդալու մուտք դեպի /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq և այլն:
  • ProtectKernelModules=այո - արգելել միջուկի մոդուլների բեռնումը:
  • ProtectKernelLogs=այո - արգելում է միջուկի տեղեկամատյաններով մուտքը բուֆեր:
  • ProtectControlGroups=այո - միայն կարդալու մուտք դեպի /sys/fs/cgroup/
  • NoNewPrivileges=այո - արգելում է արտոնությունների բարձրացումը setuid, setgid և capabilities դրոշների միջոցով:
  • PrivateNetwork=այո - տեղադրում ցանցի կույտի առանձին անվանատարածքում:
  • ProtectClock=այո — արգելեք փոխել ժամանակը:
  • ProtectHostname=այո - արգելում է փոխել հյուրընկալողի անունը:
  • ProtectProc=invisible - թաքցնում է այլ մարդկանց գործընթացները /proc-ում:
  • User= - փոխել օգտվողին

Բացի այդ, կարող եք հաշվի առնել հետևյալ կարգավորումները միացնելու հնարավորությունը.

  • CapabilityBoundingSet=
  • DevicePolicy=փակ
  • KeyringMode=մասնավոր
  • LockPersonality=այո
  • MemoryDenyWriteExecute=այո
  • PrivateUsers=այո
  • RemoveIPC=այո
  • RestrictAddressFamiles=
  • RestrictNamespaces=այո
  • RestrictRealtime=այո
  • RestrictSUIDSGID=այո
  • SystemCallFilter=
  • SystemCallArchitectures=հայրենի

Source: opennet.ru

Добавить комментарий