ProHoster > Blog > интернет жаңылыктары > Fedora 40 тутум кызматынын изоляциясын иштетүүнү пландаштырууда

Fedora 40 тутум кызматынын изоляциясын иштетүүнү пландаштырууда

Fedora 40 чыгарылышы демейки боюнча иштетилген системалык тутум кызматтары үчүн изоляция орнотууларын, ошондой эле PostgreSQL, Apache httpd, Nginx жана MariaDB сыяктуу маанилүү тиркемелери бар кызматтарды иштетүүнү сунуштайт. Өзгөртүү демейки конфигурацияда бөлүштүрүүнүн коопсуздугун бир топ жогорулатат жана системалык кызматтарда белгисиз алсыздыктарды бөгөт коюуга мүмкүндүк берет деп күтүлүүдө. Сунуш азырынча FESCo (Fedora инженердик башкаруу комитети) тарабынан карала элек, ал Fedora бөлүштүрүүнү өнүктүрүүнүн техникалык бөлүгүнө жооптуу. Сунуш коомчулуктун кароо процессинде да четке кагылышы мүмкүн.

Иштетүү үчүн сунушталган орнотуулар:

  • PrivateTmp=yes - убактылуу файлдар менен өзүнчө каталогдорду камсыз кылуу.
  • ProtectSystem=yes/full/strict — файлдык тутумду окуу үчүн гана режимде орнотуу ("толук" режимде - /ж.б., катуу режимде - /dev/, /proc/ жана /sys/ден башка бардык файл системалары).
  • ProtectHome=yes—колдонуучунун үй каталогдоруна кирүүгө тыюу салат.
  • PrivateDevices=ооба - /dev/null, /dev/zero жана /dev/random гана кирүү мүмкүнчүлүгүн калтыруу
  • ProtectKernelTunables=ооба - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq ж.б. үчүн окуу үчүн гана мүмкүнчүлүк.
  • ProtectKernelModules=yes - ядро ​​модулдарын жүктөөгө тыюу салуу.
  • ProtectKernelLogs=yes - ядро ​​журналдары менен буферге кирүүгө тыюу салат.
  • ProtectControlGroups=ооба - /sys/fs/cgroup/ үчүн окуу үчүн гана мүмкүнчүлүк
  • NoNewPrivileges=yes - setuid, setgid жана мүмкүнчүлүктөр желектери аркылуу артыкчылыктарды жогорулатууга тыюу салуу.
  • PrivateNetwork=yes - тармактык стектин өзүнчө аталыш мейкиндигине жайгаштыруу.
  • ProtectClock=yes — убакытты өзгөртүүгө тыюу салуу.
  • ProtectHostname=yes - хосттун атын өзгөртүүгө тыюу салат.
  • ProtectProc=invisible - башка адамдардын процесстерин /proc ичинде жашыруу.
  • User= - колдонуучуну өзгөртүү

Кошумча, сиз төмөнкү жөндөөлөрдү иштетүүнү ойлонушуңуз мүмкүн:

  • CapabilityBoundingSet=
  • DevicePolicy=жабык
  • KeyringMode=жеке
  • LockPersonality=ооба
  • MemoryDenyWriteExecute=ооба
  • PrivateUsers=ооба
  • RemoveIPC=ооба
  • RestrictAddressFamilies=
  • RestrictNamespaces=ооба
  • RestrictRealtime=ооба
  • RestrictSUIDSGID=ооба
  • SystemCallFilter=
  • SystemCallArchitectures=түпкүлүктүү

Source: opennet.ru

Комментарий кошуу