Fedora 40-แแก แแแแแจแแแแ แแแแแแแแแแก แแแแแแชแแแก แแแ แแแแขแ แแแแก แฉแแ แแแแก แกแแกแขแแแฃแ แ แกแแกแขแแแแก แกแแ แแแกแแแแกแแแแก, แ แแแแแแแช แฉแแ แแฃแแแ แแแแฃแแแกแฎแแแแแ, แแกแแแ แ แแแแ แช แกแแ แแแกแแแก แแแกแแแกแแแแก แแ แแขแแแฃแแ แแแแแแแชแแแแแ, แ แแแแ แแชแแ PostgreSQL, Apache httpd, Nginx แแ MariaDB. แแแกแแแแแแแแแ, แ แแ แชแแแแแแแ แแแแจแแแแแแแแแ แแแแ แแแก แแแกแขแ แแแฃแชแแแก แฃแกแแคแ แแฎแแแแแก แแแแฃแแแกแฎแแแ แแแแคแแแฃแ แแชแแแจแ แแ แจแแกแแซแแแแแแก แแแฎแแแก แกแแกแขแแแแก แกแแ แแแกแแแจแ แฃแชแแแแ แแแฃแชแแแแแแแก แแแแแแแแแก. แฌแแแแแแแแแ แฏแแ แแ แแ แแก แแแแฎแแแฃแแ FESCO-แก (Fedora Engineering Steering Committee) แแแแ , แ แแแแแแช แแแกแฃแฎแแกแแแแแแแแ Fedora แแแกแขแ แแแฃแชแแแก แแแแแแแแ แแแแก แขแแฅแแแแฃแ แแแฌแแแแ. แฌแแแแแแแแแ แจแแแซแแแแ แแกแแแ แฃแแ แงแแคแแแ แแฅแแแก แกแแแแแแแแแแแก แแแแฎแแแแแก แแ แแชแแกแจแ.
แ แแแแแแแแแแฃแแ แแแ แแแแขแ แแแ แฉแแกแแ แแแแแ:
- PrivateTmp=yes - แชแแแแแฃแแ แแแ แแฅแขแแ แแแแแก แฃแแ แฃแแแแแงแแคแ แแ แแแแแแ แคแแแแแแแ.
- ProtectSystem=yes/full/strict โ แแแแแแกแขแแแแ แแ แคแแแแฃแ แ แกแแกแขแแแ แแฎแแแแ แฌแแแแแฎแแแก แ แแแแแจแ (โแกแ แฃแโ แ แแแแแจแ - /etc/, แแแแชแ แ แ แแแแแจแ - แงแแแแ แคแแแแฃแ แ แกแแกแขแแแ แแแ แแ /dev/, /proc/ แแ /sys/).
- ProtectHome=yes โ แฃแแ แงแแคแก แฌแแแแแแก แแแแฎแแแ แแแแแก แกแแฎแแแก แแแ แแฅแขแแ แแแแแ.
- PrivateDevices=yes - แฌแแแแแแก แแแขแแแแแ แแฎแแแแ /dev/null, /dev/zero แแ /dev/random
- ProtectKernelTunables=yes - แแฎแแแแ แฌแแแแแฎแแแแ แฌแแแแแ /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq แแ แ.แจ.
- ProtectKernelModules=แแแแฎ - แแ แซแแแแแก แแแ แแแแก แแแแฃแแแแแก แฉแแขแแแ แแแแก.
- ProtectKernelLogs=แแแแฎ - แแ แซแแแแแก แแฃแคแแ แแ แฌแแแแแแก แแแ แแแแก แแฃแ แแแแแแแ.
- ProtectControlGroups=แแแแฎ - แแฎแแแแ แฌแแแแแฎแแแแ แฌแแแแแ /sys/fs/cgroup/
- NoNewPrivileges=แแแแฎ - แแ แแแแแแแแแแแก แแแแฆแแแแแก แแแ แซแแแแ setuid, setgid แแ แจแแกแแซแแแแแแแแแแก แแ แแจแแแแ.
- PrivateNetwork=แแแแฎ - แแแแแแแกแแแ แฅแกแแแแก แกแขแแแแก แชแแแแ แกแแฎแแแแ แกแแแ แชแแจแ.
- ProtectClock=แแแแฎ-แแแ แซแแแแ แแ แแแก แจแแชแแแ.
- ProtectHostname=แแแแฎ - แแ แซแแแแแก แฐแแกแขแแก แกแแฎแแแแก แจแแชแแแแก.
- ProtectProc=invisible - แกแฎแแ แแแแแแแแแแแก แแ แแชแแกแแแแก แแแแแแแ /proc-แจแ.
- แแแแฎแแแ แแแแแ= - แแแแฎแแแ แแแแแก แจแแชแแแ
แแแ แแ แแแแกแ, แจแแแแซแแแแ แแแแแแแแแกแฌแแแแ แจแแแแแแ แแแ แแแแขแ แแแแก แฉแแ แแแ:
- CapabilityBoundingSet=
- DevicePolicy=แแแฎแฃแ แฃแแแ
- KeyringMode=แแแ แแแ
- LockPersonality=แแแแฎ
- MemoryDenyWriteExecute=แแแแฎ
- PrivateUsers=แแแแฎ
- RemoveIPC=แแแแฎ
- RestrictAddressFamiles=
- RestrictNamespaces=แแแแฎ
- RestrictRealtime=แแแแฎ
- RestrictSUIDSGID=แแแแฎ
- SystemCallFilter=
- SystemCallArchitectures=แแจแแแแแฃแ แ
แฌแงแแ แ: opennet.ru