ProHoster > Блог > интернет мэдээ > Fedora 40 нь системийн үйлчилгээний тусгаарлалтыг идэвхжүүлэхээр төлөвлөж байна

Fedora 40 нь системийн үйлчилгээний тусгаарлалтыг идэвхжүүлэхээр төлөвлөж байна

Fedora 40 хувилбар нь анхдагчаар идэвхжсэн системийн системийн үйлчилгээнүүд болон PostgreSQL, Apache httpd, Nginx, MariaDB зэрэг чухал ач холбогдолтой програмуудтай үйлчилгээнүүдийг тусгаарлах тохиргоог идэвхжүүлэхийг санал болгож байна. Энэхүү өөрчлөлт нь анхдагч тохиргоон дахь түгээлтийн аюулгүй байдлыг эрс нэмэгдүүлж, системийн үйлчилгээн дэх үл мэдэгдэх эмзэг байдлыг хаах боломжтой болно гэж үзэж байна. Fedora түгээлтийн хөгжлийн техникийн хэсгийг хариуцдаг FESCo (Fedora инженерийн удирдах хороо) энэ саналыг хараахан авч үзээгүй байна. Олон нийтийн санал хүсэлтийг хянан хэлэлцэх явцад мөн татгалзаж болно.

Идэвхжүүлэхийг санал болгож буй тохиргоо:

  • PrivateTmp=yes - түр зуурын файл бүхий тусдаа сангуудыг хангах.
  • ProtectSystem=yes/full/strict — файлын системийг зөвхөн унших горимд холбох ("бүрэн" горимд - / гэх мэт/, хатуу горимд - /dev/, /proc/ болон /sys/-аас бусад бүх файлын системүүд).
  • ProtectHome=yes—хэрэглэгчийн гэрийн лавлах руу нэвтрэхийг хориглоно.
  • PrivateDevices=тийм - зөвхөн /dev/null, /dev/zero болон /dev/random-д хандах эрхийг үлдээх болно.
  • ProtectKernelTunables=тийм - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq гэх мэт рүү зөвхөн унших боломжтой.
  • ProtectKernelModules=yes - цөмийн модулиудыг ачаалахыг хориглоно.
  • ProtectKernelLogs=yes - цөмийн бүртгэлтэй буферт хандахыг хориглоно.
  • ProtectControlGroups=тийм - /sys/fs/cgroup/ руу зөвхөн унших боломжтой
  • NoNewPrivileges=yes - setuid, setgid болон capabilities дарцагуудаар дамжуулан эрхүүдийг нэмэгдүүлэхийг хориглоно.
  • PrivateNetwork=yes - сүлжээний стекийн тусдаа нэрийн талбарт байршуулах.
  • ProtectClock=yes—цагийг өөрчлөхийг хориглоно.
  • ProtectHostname=yes - хостын нэрийг өөрчлөхийг хориглоно.
  • ProtectProc=үл үзэгдэгч - бусад хүмүүсийн процессыг /proc дотор нуух.
  • User= - хэрэглэгчийг өөрчлөх

Үүнээс гадна та дараах тохиргоог идэвхжүүлэх талаар бодож болно.

  • CapabilityBoundingSet=
  • DevicePolicy=хаагдсан
  • KeyringMode=хувийн
  • LockPersonality=тийм
  • MemoryDenyWriteExecute=тийм
  • PrivateUsers=тийм
  • IPC устгах=тийм
  • RestrictAddressFamilies=
  • RestrictNamespaces=тийм
  • RestrictRealtime=тийм
  • RestrictSUIDSGID=тийм
  • SystemCallFilter=
  • SystemCallArchitectures=уугуул

Эх сурвалж: opennet.ru

сэтгэгдэл нэмэх