ProHoster > ဘလော့ > အင်တာနက်သတင်း > Fedora 40 သည် စနစ်ဝန်ဆောင်မှု သီးခြားခွဲထုတ်ခြင်းကို ဖွင့်ရန် စီစဉ်နေသည်။

Fedora 40 သည် စနစ်ဝန်ဆောင်မှု သီးခြားခွဲထုတ်ခြင်းကို ဖွင့်ရန် စီစဉ်နေသည်။

Fedora 40 ထုတ်ဝေမှုတွင် မူရင်းအတိုင်းဖွင့်ထားသည့် systemd စနစ်ဝန်ဆောင်မှုများအတွက် သီးခြားဆက်တင်များအပြင် PostgreSQL၊ Apache httpd၊ Nginx နှင့် MariaDB ကဲ့သို့သော အရေးကြီးသောအပလီကေးရှင်းများပါရှိသော ဝန်ဆောင်မှုများကို အကြံပြုထားသည်။ ပြောင်းလဲမှုသည် ပုံသေပုံစံဖွဲ့စည်းမှုတွင် ဖြန့်ဖြူးမှု၏လုံခြုံရေးကို သိသာထင်ရှားစွာ တိုးမြင့်လာစေပြီး စနစ်ဝန်ဆောင်မှုများတွင် အမည်မသိအားနည်းချက်များကို ပိတ်ဆို့နိုင်စေမည်ဟု မျှော်လင့်ရသည်။ Fedora ဖြန့်ဖြူးမှု ဖွံ့ဖြိုးတိုးတက်မှု၏ နည်းပညာပိုင်းကို တာဝန်ယူသည့် FESCo (Fedora Engineering Steering Committee) မှ အဆိုပြုချက်ကို ထည့်သွင်းစဉ်းစားခြင်း မရှိသေးပါ။ ရပ်ရွာပြန်လည်သုံးသပ်ခြင်းလုပ်ငန်းစဉ်အတွင်း အဆိုပြုချက်ကို ပယ်ချနိုင်ပါသည်။

ဖွင့်ရန် အကြံပြုထားသော ဆက်တင်များ

  • PrivateTmp=yes - ယာယီဖိုင်များဖြင့် သီးခြားလမ်းညွှန်များ ပေးဆောင်ခြင်း။
  • ProtectSystem=yes/full/strict — ဖိုင်စနစ်အား ဖတ်ရန်သီးသန့်မုဒ်တွင် (“အပြည့်” မုဒ်တွင် - /etc/၊ တင်းကျပ်သောမုဒ်တွင် - /dev/၊ /proc/ နှင့် /sys/ မှလွဲ၍ ဖိုင်စနစ်အားလုံး)။
  • ProtectHome=yes—အသုံးပြုသူ ပင်မလမ်းညွှန်များကို ဝင်ရောက်ခွင့် ငြင်းပယ်သည်။
  • PrivateDevices=yes - ဝင်ရောက်ခွင့်ကို /dev/null၊ /dev/zero နှင့် /dev/random သို့သာ ချန်ထားခဲ့သည်
  • ProtectKernelTunables=yes - /proc/sys/၊ /sys/၊ /proc/acpi၊ /proc/fs၊ /proc/irq စသည်
  • ProtectKernelModules=yes - kernel module များကို တင်ခြင်းကို တားမြစ်သည်။
  • ProtectKernelLogs=yes - kernel မှတ်တမ်းများဖြင့် ကြားခံဝင်ရောက်ခွင့်ကို တားမြစ်ထားသည်။
  • ProtectControlGroups=yes - /sys/fs/cgroup/ သို့ ဖတ်ရန်သာ ဝင်ရောက်ခွင့်
  • NoNewPrivileges=yes - setuid၊ setgid နှင့် capabilities အလံများမှတစ်ဆင့် အခွင့်ထူးများ တိုးမြှင့်ခြင်းကို တားမြစ်ထားသည်။
  • PrivateNetwork=yes - network stack ၏ သီးခြား namespace တွင် နေရာချထားခြင်း။
  • ProtectClock=yes—အချိန်ကို ပြောင်းလဲခြင်းကို တားမြစ်သည်။
  • ProtectHostname=yes - လက်ခံသူအမည်ကို ပြောင်းလဲခြင်းကို တားမြစ်သည်။
  • ProtectProc=မမြင်နိုင်သော - အခြားသူများ၏လုပ်ငန်းစဉ်များကို /proc တွင်ဝှက်ထားသည်။
  • User= - အသုံးပြုသူကို ပြောင်းပါ။

ထို့အပြင်၊ အောက်ပါဆက်တင်များကို ဖွင့်ရန် သင်စဉ်းစားနိုင်သည်-

  • CapabilityBoundingSet=
  • DevicePolicy=ပိတ်ထားသည်။
  • KeyringMode=သီးသန့်
  • LockPersonality=ဟုတ်ပါတယ်။
  • MemoryDenyWriteExecute=yes
  • PrivateUsers=ဟုတ်ပါတယ်။
  • RemoveIPC=ဟုတ်ကဲ့
  • RestrictAddressFamilies=
  • RestrictNamespaces=ဟုတ်တယ်
  • RestrictRealtime=ဟုတ်တယ်
  • ကန့်သတ်SUIDSGID=ဟုတ်ကဲ့
  • SystemCallFilter=
  • SystemCallArchitectures=ဇာတိ

source: opennet.ru

မှတ်ချက် Add