ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಫೆಡೋರಾ 40 ಸಿಸ್ಟಮ್ ಸೇವೆಯ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಯೋಜಿಸಿದೆ

ಫೆಡೋರಾ 40 ಸಿಸ್ಟಮ್ ಸೇವೆಯ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಯೋಜಿಸಿದೆ

Fedora 40 ಬಿಡುಗಡೆಯು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾದ systemd ಸಿಸ್ಟಮ್ ಸೇವೆಗಳಿಗೆ ಪ್ರತ್ಯೇಕ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸೂಚಿಸುತ್ತದೆ, ಹಾಗೆಯೇ PostgreSQL, Apache httpd, Nginx ಮತ್ತು MariaDB ಯಂತಹ ಮಿಷನ್-ಕ್ರಿಟಿಕಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳೊಂದಿಗಿನ ಸೇವೆಗಳು. ಬದಲಾವಣೆಯು ಡಿಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ವಿತರಣೆಯ ಸುರಕ್ಷತೆಯನ್ನು ಗಣನೀಯವಾಗಿ ಹೆಚ್ಚಿಸುತ್ತದೆ ಮತ್ತು ಸಿಸ್ಟಮ್ ಸೇವೆಗಳಲ್ಲಿ ಅಪರಿಚಿತ ದೋಷಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಎಂದು ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ. ಫೆಡೋರಾ ವಿತರಣೆಯ ಅಭಿವೃದ್ಧಿಯ ತಾಂತ್ರಿಕ ಭಾಗಕ್ಕೆ ಜವಾಬ್ದಾರರಾಗಿರುವ FESCO (ಫೆಡೋರಾ ಇಂಜಿನಿಯರಿಂಗ್ ಸ್ಟೀರಿಂಗ್ ಕಮಿಟಿ) ಪ್ರಸ್ತಾವನೆಯನ್ನು ಇನ್ನೂ ಪರಿಗಣಿಸಿಲ್ಲ. ಸಮುದಾಯ ವಿಮರ್ಶೆ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ ಪ್ರಸ್ತಾಪವನ್ನು ತಿರಸ್ಕರಿಸಬಹುದು.

ಸಕ್ರಿಯಗೊಳಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾದ ಸೆಟ್ಟಿಂಗ್‌ಗಳು:

  • PrivateTmp=ಹೌದು - ತಾತ್ಕಾಲಿಕ ಫೈಲ್‌ಗಳೊಂದಿಗೆ ಪ್ರತ್ಯೇಕ ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ.
  • ProtectSystem=yes/full/strict — ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಓದಲು-ಮಾತ್ರ ಕ್ರಮದಲ್ಲಿ ಆರೋಹಿಸಿ ("ಪೂರ್ಣ" ಮೋಡ್‌ನಲ್ಲಿ - /etc/, ಕಟ್ಟುನಿಟ್ಟಾದ ಮೋಡ್‌ನಲ್ಲಿ - /dev/, /proc/ ಮತ್ತು /sys/ ಹೊರತುಪಡಿಸಿ ಎಲ್ಲಾ ಫೈಲ್ ಸಿಸ್ಟಮ್‌ಗಳು).
  • ProtectHome=ಹೌದು-ಬಳಕೆದಾರರ ಹೋಮ್ ಡೈರೆಕ್ಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸುತ್ತದೆ.
  • ಖಾಸಗಿ ಸಾಧನಗಳು=ಹೌದು - /dev/null, /dev/zero ಮತ್ತು /dev/random ಗೆ ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ಬಿಡುತ್ತದೆ
  • ProtectKernelTunables=ಹೌದು - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ಇತ್ಯಾದಿಗಳಿಗೆ ಓದಲು-ಮಾತ್ರ ಪ್ರವೇಶ.
  • ProtectKernelModules=ಹೌದು - ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿಷೇಧಿಸಿ.
  • ProtectKernelLogs=ಹೌದು - ಕರ್ನಲ್ ಲಾಗ್‌ಗಳೊಂದಿಗೆ ಬಫರ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
  • ProtectControlGroups=ಹೌದು - /sys/fs/cgroup/ ಗೆ ಓದಲು-ಮಾತ್ರ ಪ್ರವೇಶ
  • NoNewPrivileges=ಹೌದು - ಸೆಟುಯಿಡ್, ಸೆಟ್‌ಗಿಡ್ ಮತ್ತು ಸಾಮರ್ಥ್ಯಗಳ ಫ್ಲ್ಯಾಗ್‌ಗಳ ಮೂಲಕ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
  • PrivateNetwork=ಹೌದು - ನೆಟ್‌ವರ್ಕ್ ಸ್ಟಾಕ್‌ನ ಪ್ರತ್ಯೇಕ ನೇಮ್‌ಸ್ಪೇಸ್‌ನಲ್ಲಿ ನಿಯೋಜನೆ.
  • ProtectClock = ಹೌದು - ಸಮಯವನ್ನು ಬದಲಾಯಿಸುವುದನ್ನು ನಿಷೇಧಿಸಿ.
  • ProtectHostname=ಹೌದು - ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಬದಲಾಯಿಸುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
  • ProtectProc=ಅದೃಶ್ಯ - /proc ನಲ್ಲಿ ಇತರ ಜನರ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಮರೆಮಾಡುವುದು.
  • ಬಳಕೆದಾರ= - ಬಳಕೆದಾರರನ್ನು ಬದಲಾಯಿಸಿ

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ಕೆಳಗಿನ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ನೀವು ಪರಿಗಣಿಸಬಹುದು:

  • CapabilityBoundingSet=
  • DevicePolicy=ಮುಚ್ಚಲಾಗಿದೆ
  • ಕೀರಿಂಗ್ ಮೋಡ್=ಖಾಸಗಿ
  • ಲಾಕ್ ಪರ್ಸನಾಲಿಟಿ = ಹೌದು
  • MemoryDenyWriteExecute=yes
  • ಖಾಸಗಿ ಬಳಕೆದಾರರು=ಹೌದು
  • ತೆಗೆದುಹಾಕಿIPC=ಹೌದು
  • ನಿರ್ಬಂಧಿತ ವಿಳಾಸ ಕುಟುಂಬಗಳು=
  • ಹೆಸರುಸ್ಥಳಗಳನ್ನು ನಿರ್ಬಂಧಿಸಿ=ಹೌದು
  • ರಿಯಲ್ಟೈಮ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಿ=ಹೌದು
  • ನಿರ್ಬಂಧಿಸುSUIDSGID=ಹೌದು
  • SystemCallFilter=
  • SystemCallArchitectures=ಸ್ಥಳೀಯ

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ