Fedora 40 ಬಿಡುಗಡೆಯು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾದ systemd ಸಿಸ್ಟಮ್ ಸೇವೆಗಳಿಗೆ ಪ್ರತ್ಯೇಕ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸೂಚಿಸುತ್ತದೆ, ಹಾಗೆಯೇ PostgreSQL, Apache httpd, Nginx ಮತ್ತು MariaDB ಯಂತಹ ಮಿಷನ್-ಕ್ರಿಟಿಕಲ್ ಅಪ್ಲಿಕೇಶನ್ಗಳೊಂದಿಗಿನ ಸೇವೆಗಳು. ಬದಲಾವಣೆಯು ಡಿಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ವಿತರಣೆಯ ಸುರಕ್ಷತೆಯನ್ನು ಗಣನೀಯವಾಗಿ ಹೆಚ್ಚಿಸುತ್ತದೆ ಮತ್ತು ಸಿಸ್ಟಮ್ ಸೇವೆಗಳಲ್ಲಿ ಅಪರಿಚಿತ ದೋಷಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಎಂದು ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ. ಫೆಡೋರಾ ವಿತರಣೆಯ ಅಭಿವೃದ್ಧಿಯ ತಾಂತ್ರಿಕ ಭಾಗಕ್ಕೆ ಜವಾಬ್ದಾರರಾಗಿರುವ FESCO (ಫೆಡೋರಾ ಇಂಜಿನಿಯರಿಂಗ್ ಸ್ಟೀರಿಂಗ್ ಕಮಿಟಿ) ಪ್ರಸ್ತಾವನೆಯನ್ನು ಇನ್ನೂ ಪರಿಗಣಿಸಿಲ್ಲ. ಸಮುದಾಯ ವಿಮರ್ಶೆ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ ಪ್ರಸ್ತಾಪವನ್ನು ತಿರಸ್ಕರಿಸಬಹುದು.
ಸಕ್ರಿಯಗೊಳಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾದ ಸೆಟ್ಟಿಂಗ್ಗಳು:
- PrivateTmp=ಹೌದು - ತಾತ್ಕಾಲಿಕ ಫೈಲ್ಗಳೊಂದಿಗೆ ಪ್ರತ್ಯೇಕ ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ.
- ProtectSystem=yes/full/strict — ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಓದಲು-ಮಾತ್ರ ಕ್ರಮದಲ್ಲಿ ಆರೋಹಿಸಿ ("ಪೂರ್ಣ" ಮೋಡ್ನಲ್ಲಿ - /etc/, ಕಟ್ಟುನಿಟ್ಟಾದ ಮೋಡ್ನಲ್ಲಿ - /dev/, /proc/ ಮತ್ತು /sys/ ಹೊರತುಪಡಿಸಿ ಎಲ್ಲಾ ಫೈಲ್ ಸಿಸ್ಟಮ್ಗಳು).
- ProtectHome=ಹೌದು-ಬಳಕೆದಾರರ ಹೋಮ್ ಡೈರೆಕ್ಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸುತ್ತದೆ.
- ಖಾಸಗಿ ಸಾಧನಗಳು=ಹೌದು - /dev/null, /dev/zero ಮತ್ತು /dev/random ಗೆ ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ಬಿಡುತ್ತದೆ
- ProtectKernelTunables=ಹೌದು - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ಇತ್ಯಾದಿಗಳಿಗೆ ಓದಲು-ಮಾತ್ರ ಪ್ರವೇಶ.
- ProtectKernelModules=ಹೌದು - ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿಷೇಧಿಸಿ.
- ProtectKernelLogs=ಹೌದು - ಕರ್ನಲ್ ಲಾಗ್ಗಳೊಂದಿಗೆ ಬಫರ್ಗೆ ಪ್ರವೇಶವನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
- ProtectControlGroups=ಹೌದು - /sys/fs/cgroup/ ಗೆ ಓದಲು-ಮಾತ್ರ ಪ್ರವೇಶ
- NoNewPrivileges=ಹೌದು - ಸೆಟುಯಿಡ್, ಸೆಟ್ಗಿಡ್ ಮತ್ತು ಸಾಮರ್ಥ್ಯಗಳ ಫ್ಲ್ಯಾಗ್ಗಳ ಮೂಲಕ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
- PrivateNetwork=ಹೌದು - ನೆಟ್ವರ್ಕ್ ಸ್ಟಾಕ್ನ ಪ್ರತ್ಯೇಕ ನೇಮ್ಸ್ಪೇಸ್ನಲ್ಲಿ ನಿಯೋಜನೆ.
- ProtectClock = ಹೌದು - ಸಮಯವನ್ನು ಬದಲಾಯಿಸುವುದನ್ನು ನಿಷೇಧಿಸಿ.
- ProtectHostname=ಹೌದು - ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಬದಲಾಯಿಸುವುದನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ.
- ProtectProc=ಅದೃಶ್ಯ - /proc ನಲ್ಲಿ ಇತರ ಜನರ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಮರೆಮಾಡುವುದು.
- ಬಳಕೆದಾರ= - ಬಳಕೆದಾರರನ್ನು ಬದಲಾಯಿಸಿ
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಈ ಕೆಳಗಿನ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ನೀವು ಪರಿಗಣಿಸಬಹುದು:
- CapabilityBoundingSet=
- DevicePolicy=ಮುಚ್ಚಲಾಗಿದೆ
- ಕೀರಿಂಗ್ ಮೋಡ್=ಖಾಸಗಿ
- ಲಾಕ್ ಪರ್ಸನಾಲಿಟಿ = ಹೌದು
- MemoryDenyWriteExecute=yes
- ಖಾಸಗಿ ಬಳಕೆದಾರರು=ಹೌದು
- ತೆಗೆದುಹಾಕಿIPC=ಹೌದು
- ನಿರ್ಬಂಧಿತ ವಿಳಾಸ ಕುಟುಂಬಗಳು=
- ಹೆಸರುಸ್ಥಳಗಳನ್ನು ನಿರ್ಬಂಧಿಸಿ=ಹೌದು
- ರಿಯಲ್ಟೈಮ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಿ=ಹೌದು
- ನಿರ್ಬಂಧಿಸುSUIDSGID=ಹೌದು
- SystemCallFilter=
- SystemCallArchitectures=ಸ್ಥಳೀಯ
ಮೂಲ: opennet.ru