Fedora 40 ထုတ်ဝေမှုတွင် မူရင်းအတိုင်းဖွင့်ထားသည့် systemd စနစ်ဝန်ဆောင်မှုများအတွက် သီးခြားဆက်တင်များအပြင် PostgreSQL၊ Apache httpd၊ Nginx နှင့် MariaDB ကဲ့သို့သော အရေးကြီးသောအပလီကေးရှင်းများပါရှိသော ဝန်ဆောင်မှုများကို အကြံပြုထားသည်။ ပြောင်းလဲမှုသည် ပုံသေပုံစံဖွဲ့စည်းမှုတွင် ဖြန့်ဖြူးမှု၏လုံခြုံရေးကို သိသာထင်ရှားစွာ တိုးမြင့်လာစေပြီး စနစ်ဝန်ဆောင်မှုများတွင် အမည်မသိအားနည်းချက်များကို ပိတ်ဆို့နိုင်စေမည်ဟု မျှော်လင့်ရသည်။ Fedora ဖြန့်ဖြူးမှု ဖွံ့ဖြိုးတိုးတက်မှု၏ နည်းပညာပိုင်းကို တာဝန်ယူသည့် FESCo (Fedora Engineering Steering Committee) မှ အဆိုပြုချက်ကို ထည့်သွင်းစဉ်းစားခြင်း မရှိသေးပါ။ ရပ်ရွာပြန်လည်သုံးသပ်ခြင်းလုပ်ငန်းစဉ်အတွင်း အဆိုပြုချက်ကို ပယ်ချနိုင်ပါသည်။
ဖွင့်ရန် အကြံပြုထားသော ဆက်တင်များ
- PrivateTmp=yes - ယာယီဖိုင်များဖြင့် သီးခြားလမ်းညွှန်များ ပေးဆောင်ခြင်း။
- ProtectSystem=yes/full/strict — ဖိုင်စနစ်အား ဖတ်ရန်သီးသန့်မုဒ်တွင် (“အပြည့်” မုဒ်တွင် - /etc/၊ တင်းကျပ်သောမုဒ်တွင် - /dev/၊ /proc/ နှင့် /sys/ မှလွဲ၍ ဖိုင်စနစ်အားလုံး)။
- ProtectHome=yes—အသုံးပြုသူ ပင်မလမ်းညွှန်များကို ဝင်ရောက်ခွင့် ငြင်းပယ်သည်။
- PrivateDevices=yes - ဝင်ရောက်ခွင့်ကို /dev/null၊ /dev/zero နှင့် /dev/random သို့သာ ချန်ထားခဲ့သည်
- ProtectKernelTunables=yes - /proc/sys/၊ /sys/၊ /proc/acpi၊ /proc/fs၊ /proc/irq စသည်
- ProtectKernelModules=yes - kernel module များကို တင်ခြင်းကို တားမြစ်သည်။
- ProtectKernelLogs=yes - kernel မှတ်တမ်းများဖြင့် ကြားခံဝင်ရောက်ခွင့်ကို တားမြစ်ထားသည်။
- ProtectControlGroups=yes - /sys/fs/cgroup/ သို့ ဖတ်ရန်သာ ဝင်ရောက်ခွင့်
- NoNewPrivileges=yes - setuid၊ setgid နှင့် capabilities အလံများမှတစ်ဆင့် အခွင့်ထူးများ တိုးမြှင့်ခြင်းကို တားမြစ်ထားသည်။
- PrivateNetwork=yes - network stack ၏ သီးခြား namespace တွင် နေရာချထားခြင်း။
- ProtectClock=yes—အချိန်ကို ပြောင်းလဲခြင်းကို တားမြစ်သည်။
- ProtectHostname=yes - လက်ခံသူအမည်ကို ပြောင်းလဲခြင်းကို တားမြစ်သည်။
- ProtectProc=မမြင်နိုင်သော - အခြားသူများ၏လုပ်ငန်းစဉ်များကို /proc တွင်ဝှက်ထားသည်။
- User= - အသုံးပြုသူကို ပြောင်းပါ။
ထို့အပြင်၊ အောက်ပါဆက်တင်များကို ဖွင့်ရန် သင်စဉ်းစားနိုင်သည်-
- CapabilityBoundingSet=
- DevicePolicy=ပိတ်ထားသည်။
- KeyringMode=သီးသန့်
- LockPersonality=ဟုတ်ပါတယ်။
- MemoryDenyWriteExecute=yes
- PrivateUsers=ဟုတ်ပါတယ်။
- RemoveIPC=ဟုတ်ကဲ့
- RestrictAddressFamilies=
- RestrictNamespaces=ဟုတ်တယ်
- RestrictRealtime=ဟုတ်တယ်
- ကန့်သတ်SUIDSGID=ဟုတ်ကဲ့
- SystemCallFilter=
- SystemCallArchitectures=ဇာတိ
source: opennet.ru