ProHoster > Блог > интернет жаңалықтары > Fedora 40 жүйе қызметін оқшаулауды қосуды жоспарлап отыр

Fedora 40 жүйе қызметін оқшаулауды қосуды жоспарлап отыр

Fedora 40 шығарылымы әдепкі бойынша қосылған жүйелік жүйе қызметтері үшін оқшаулау параметрлерін, сондай-ақ PostgreSQL, Apache httpd, Nginx және MariaDB сияқты маңызды қолданбалары бар қызметтерді қосуды ұсынады. Өзгеріс әдепкі конфигурацияда таратудың қауіпсіздігін айтарлықтай арттырады және жүйелік қызметтердегі белгісіз осалдықтарды блоктауға мүмкіндік береді деп күтілуде. Ұсынысты FESCo (Fedora инженерлік басқару комитеті) әлі қарастырған жоқ, ол Fedora дистрибутивін әзірлеудің техникалық бөлігіне жауапты. Ұсыныс қауымдастықты қарау барысында да қабылданбауы мүмкін.

Қосу үшін ұсынылатын параметрлер:

  • PrivateTmp=иә – уақытша файлдармен бөлек каталогтарды қамтамасыз ету.
  • ProtectSystem=yes/full/strict — файлдық жүйені тек оқуға арналған режимде орнату («толық» режимде - /etc/, қатаң режимде - /dev/, /proc/ және /sys/ басқа барлық файлдық жүйелер).
  • ProtectHome=yes—пайдаланушының үй каталогтарына кіруге тыйым салады.
  • PrivateDevices=иә - тек /dev/null, /dev/zero және /dev/random кіру рұқсатын қалдырады
  • ProtectKernelTunables=иә - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, т.б. тек оқуға рұқсат.
  • ProtectKernelModules=иә - ядро ​​модульдерін жүктеуге тыйым салу.
  • ProtectKernelLogs=yes - ядро ​​журналдары бар буферге кіруге тыйым салады.
  • ProtectControlGroups=иә - /sys/fs/cgroup/ тек оқуға рұқсат.
  • NoNewPrivileges=иә - setuid, setgid және мүмкіндіктер жалаушалары арқылы артықшылықтарды көтеруге тыйым салу.
  • PrivateNetwork=иә – желілік стектің жеке аттар кеңістігінде орналастыру.
  • ProtectClock=иә — уақытты өзгертуге тыйым салу.
  • ProtectHostname=иә - хост атауын өзгертуге тыйым салады.
  • ProtectProc=invisible - басқа адамдардың процестерін /proc ішінде жасыру.
  • User= - пайдаланушыны өзгерту

Сонымен қатар, келесі параметрлерді қосу мүмкіндігін қарастыруға болады:

  • CapabilityBoundingSet=
  • DevicePolicy=жабық
  • KeyringMode=жеке
  • LockPersonality=иә
  • MemoryDenyWriteExecute=иә
  • PrivateUsers=иә
  • IPC жою=иә
  • RestrictAddressFamilies=
  • RestrictNamespaces=иә
  • RestrictRealtime=иә
  • RestrictSUIDSGID=иә
  • SystemCallFilter=
  • SystemCallArchitectures=туған

Ақпарат көзі: opennet.ru

пікір қалдыру