ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Fedora 40 rencana ngaktifake isolasi layanan sistem

Fedora 40 rencana ngaktifake isolasi layanan sistem

Rilis Fedora 40 nyaranake supaya setelan isolasi kanggo layanan sistem sistem sing diaktifake kanthi standar, uga layanan karo aplikasi kritis kayata PostgreSQL, Apache httpd, Nginx, lan MariaDB. Dikarepake yen owah-owahan kasebut bakal nambah keamanan distribusi ing konfigurasi standar lan bakal bisa mblokir kerentanan sing ora dingerteni ing layanan sistem. Proposal kasebut durung dianggep dening FESCo (Komite Pengarah Teknik Fedora), sing tanggung jawab kanggo bagean teknis pangembangan distribusi Fedora. Proposal uga bisa ditolak sajrone proses review komunitas.

Setelan sing disaranake kanggo ngaktifake:

  • PrivateTmp=ya - nyedhiyakake direktori sing kapisah karo file sementara.
  • ProtectSystem=yes/full/strict β€” pasang sistem file ing mode maca-mung (ing mode β€œfull” - / etc /, ing mode ketat - kabeh sistem file kajaba / dev /, / proc / lan / sys /).
  • ProtectHome=yaβ€”nolak akses menyang direktori ngarep pangguna.
  • PrivateDevices = ya - mung ninggalake akses menyang / dev / null, / dev / zero lan / dev / random
  • ProtectKernelTunables=ya - akses mung diwaca menyang /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, lsp.
  • ProtectKernelModules=ya - nglarang mbukak modul kernel.
  • ProtectKernelLogs=ya - nglarang akses menyang buffer karo log kernel.
  • ProtectControlGroups=ya - akses mung diwaca menyang /sys/fs/cgroup/
  • NoNewPrivileges=ya - nglarang elevasi hak istimewa liwat gendera setuid, setgid lan kapabilitas.
  • PrivateNetwork = ya - panggonan ing spasi jeneng kapisah saka tumpukan jaringan.
  • ProtectClock=ya-larang ngganti wektu.
  • ProtectHostname=ya - nglarang ngganti jeneng host.
  • ProtectProc=ora katon - ndhelikake proses wong liya ing /proc.
  • Panganggo = - ngganti panganggo

Kajaba iku, sampeyan bisa uga nimbang ngaktifake setelan ing ngisor iki:

  • KapabilitasBoundingSet =
  • DevicePolicy=ditutup
  • KeyringMode=pribadi
  • LockPersonality=ya
  • MemoryDenyWriteExecute=ya
  • PrivateUsers=ya
  • RemoveIPC=ya
  • RestrictAddressFamilies=
  • RestrictNamespaces=ya
  • RestrictRealtime=ya
  • WatesanSUIDSGID=ya
  • SystemCallFilter=
  • SystemCallArchitectures=native

Source: opennet.ru

Add a comment