рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдВрдЯрд░рдиреЗрдЯ рдмрд╛рддрдореНрдпрд╛ > рд╕рд┐рд╕реНрдЯрдо рд╕рд░реНрд╡реНрд╣рд┐рд╕ рдЖрдпрд╕реЛрд▓реЗрд╢рди рд╕рдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА Fedora 40 рдпреЛрдЬрдирд╛

рд╕рд┐рд╕реНрдЯрдо рд╕рд░реНрд╡реНрд╣рд┐рд╕ рдЖрдпрд╕реЛрд▓реЗрд╢рди рд╕рдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА Fedora 40 рдпреЛрдЬрдирд╛

Fedora 40 рд░рд┐рд▓реАрдЭ рд╕рд┐рд╕реНрдЯрдореНрдб рд╕рд┐рд╕реНрдЯрдо рд╕рд░реНрд╡реНрд╣рд┐рд╕реЗрд╕рд╕рд╛рдареА рдЖрдпрд╕реЛрд▓реЗрд╢рди рд╕реЗрдЯрд┐рдВрдЧреНрдЬ рд╕рдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рдЪреЗ рд╕реБрдЪрд╡рддреЗ рдЬреЗ рдбреАрдлреЙрд▓реНрдЯрдиреБрд╕рд╛рд░ рд╕рдХреНрд╖рдо рдХреЗрд▓реЗ рдЬрд╛рддреЗ, рддрд╕реЗрдЪ рдкреЛрд╕реНрдЯрдЧреНрд░реЗрдПрд╕рдХреНрдпреВрдПрд▓, Apache httpd, Nginx, рдЖрдгрд┐ MariaDB рд╕рд╛рд░рдЦреНрдпрд╛ рдорд┐рд╢рди-рдХреНрд░рд┐рдЯрд┐рдХрд▓ рдНрдкреНрд▓рд┐рдХреЗрд╢рдиреНрд╕рд╕рд╣ рд╕реЗрд╡рд╛. рд╣реЗ рдЕрдкреЗрдХреНрд╖рд┐рдд рдЖрд╣реЗ рдХреА рдмрджрд▓рд╛рдореБрд│реЗ рдбрд┐рдлреЙрд▓реНрдЯ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рдирдордзреАрд▓ рд╡рд┐рддрд░рдгрд╛рдЪреНрдпрд╛ рд╕реБрд░рдХреНрд╖рд┐рддрддреЗрдд рд▓рдХреНрд╖рдгреАрдп рд╡рд╛рдв рд╣реЛрдИрд▓ рдЖрдгрд┐ рд╕рд┐рд╕реНрдЯрдо рд╕реЗрд╡рд╛рдВрдордзреАрд▓ рдЕрдЬреНрдЮрд╛рдд рднреЗрджреНрдпрддрд╛ рдЕрд╡рд░реЛрдзрд┐рдд рдХрд░рдгреЗ рд╢рдХреНрдп рд╣реЛрдИрд▓. Fedora рд╡рд┐рддрд░рдгрд╛рдЪреНрдпрд╛ рд╡рд┐рдХрд╛рд╕рд╛рдЪреНрдпрд╛ рддрд╛рдВрддреНрд░рд┐рдХ рднрд╛рдЧрд╛рд╕рд╛рдареА рдЬрдмрд╛рдмрджрд╛рд░ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ FESCO (Fedora рдЕрднрд┐рдпрд╛рдВрддреНрд░рд┐рдХреА рд╕реБрдХрд╛рдгреВ рд╕рдорд┐рддреА) рдпрд╛ рдкреНрд░рд╕реНрддрд╛рд╡рд╛рд╡рд░ рдЕрджреНрдпрд╛рдк рд╡рд┐рдЪрд╛рд░ рдХреЗрд▓рд╛ рдЧреЗрд▓рд╛ рдирд╛рд╣реА. рд╕рдореБрджрд╛рдп рдкреБрдирд░рд╛рд╡рд▓реЛрдХрди рдкреНрд░рдХреНрд░рд┐рдпреЗрджрд░рдореНрдпрд╛рди рдкреНрд░рд╕реНрддрд╛рд╡ рдирд╛рдХрд╛рд░рд▓рд╛ рдЬрд╛рдК рд╢рдХрддреЛ.

рд╕рдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╢рд┐рдлрд╛рд░рд╕ рдХреЗрд▓реЗрд▓реА рд╕реЗрдЯрд┐рдВрдЧреНрдЬ:

  • PrivateTmp=yes - рддрд╛рддреНрдкреБрд░рддреНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рд╕рд╣ рд╕реНрд╡рддрдВрддреНрд░ рдбрд┐рд░реЗрдХреНрдЯреНрд░реА рдкреНрд░рджрд╛рди рдХрд░рдгреЗ.
  • ProtectSystem=yes/full/strict тАФ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдорд▓рд╛ рдлрдХреНрдд-рд╡рд╛рдЪрдиреАрдп рдореЛрдбрдордзреНрдпреЗ рдорд╛рдЙрдВрдЯ рдХрд░рд╛ (тАЬрдкреВрд░реНрдгтАЭ рдореЛрдбрдордзреНрдпреЗ - /etc/, рдХрдареЛрд░ рдореЛрдбрдордзреНрдпреЗ - /dev/, /proc/ рдЖрдгрд┐ /sys/ рд╡рдЧрд│рддрд╛ рд╕рд░реНрд╡ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо).
  • ProtectHome=yesтАФрд╡рд╛рдкрд░рдХрд░реНрддрд╛ рд╣реЛрдо рдбрд┐рд░реЗрдХреНрдЯрд░реАрдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдирд╛рдХрд╛рд░рддреЛ.
  • рдЦрд╛рдЬрдЧреА рдЙрдкрдХрд░рдгреЗ=рд╣реЛрдп - рдлрдХреНрдд /dev/null, /dev/zero рдЖрдгрд┐ /dev/random рд╡рд░ рдкреНрд░рд╡реЗрд╢ рд╕реЛрдбрдгреЗ
  • ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, рдЗ. рд╡рд░ рдлрдХреНрдд-рд╡рд╛рдЪрдиреАрдп рдкреНрд░рд╡реЗрд╢.
  • ProtectKernelModules=yes - рдХрд░реНрдирд▓ рдореЙрдбреНрдпреБрд▓реНрд╕ рд▓реЛрдб рдХрд░рдгреНрдпрд╛рд╕ рдкреНрд░рддрд┐рдмрдВрдз рдХрд░рд╛.
  • ProtectKernelLogs=yes - рдХрд░реНрдирд▓ рд▓реЙрдЧрд╕рд╣ рдмрдлрд░рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддреЗ.
  • ProtectControlGroups=рд╣реЛрдп - /sys/fs/cgroup/ рд╡рд░ рдлрдХреНрдд-рд╡рд╛рдЪрдиреАрдп рдкреНрд░рд╡реЗрд╢
  • NoNewPrivileges=yes - setuid, setgid рдЖрдгрд┐ capabilities рдлреНрд▓реЕрдЧрджреНрд╡рд╛рд░реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд╛рдВрдЪреА рдЙрдВрдЪреА рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддреЗ.
  • PrivateNetwork=yes - рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреЕрдХрдЪреНрдпрд╛ рд╡реЗрдЧрд│реНрдпрд╛ рдиреЗрдорд╕реНрдкреЗрд╕рдордзреНрдпреЗ рдкреНрд▓реЗрд╕рдореЗрдВрдЯ.
  • ProtectClock=рд╣реЛрдптАФрд╡реЗрд│ рдмрджрд▓рдгреНрдпрд╛рд╕ рдордирд╛рдИ рдХрд░рд╛.
  • ProtectHostname=yes - рд╣реЛрд╕реНрдЯрдЪреЗ рдирд╛рд╡ рдмрджрд▓рдгреНрдпрд╛рд╕ рдордирд╛рдИ рдХрд░рддреЗ.
  • ProtectProc=invisible - рдЗрддрд░ рд▓реЛрдХрд╛рдВрдЪреНрдпрд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ /proc рдордзреНрдпреЗ рд▓рдкрд╡рдд рдЖрд╣реЗ.
  • рд╡рд╛рдкрд░рдХрд░реНрддрд╛ = - рд╡рд╛рдкрд░рдХрд░реНрддрд╛ рдмрджрд▓рд╛

рдпрд╛рд╡реНрдпрддрд┐рд░рд┐рдХреНрдд, рддреБрдореНрд╣реА рдЦрд╛рд▓реАрд▓ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ рд╕рдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рдЪрд╛ рд╡рд┐рдЪрд╛рд░ рдХрд░реВ рд╢рдХрддрд╛:

  • рдХреНрд╖рдорддрд╛рдмрд╛рдЙрдВрдбрд┐рдВрдЧрд╕реЗрдЯ=
  • DevicePolicy=рдмрдВрдж
  • KeyringMode=рдЦрд╛рдЬрдЧреА
  • рд▓реЙрдХ рдкрд░реНрд╕рдиреЕрд▓рд┐рдЯреА = рд╣реЛрдп
  • MemoryDenyWriteExecute=рд╣реЛрдп
  • рдЦрд╛рдЬрдЧреА рд╡рд╛рдкрд░рдХрд░реНрддреЗ = рд╣реЛрдп
  • рдХрд╛рдврд╛ IPC=рд╣реЛрдп
  • RestrictAddressFamilies=
  • RestrictNamespaces=рд╣реЛрдп
  • RestrictRealtime=рд╣реЛрдп
  • RestrictSUIDSGID=рд╣реЛрдп
  • SystemCallFilter=
  • SystemCallArchitectures=рдиреЗрдЯрд┐рд╡реНрд╣

рд╕реНрддреНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╛