рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > Fedora 40 рдпреЛрдЬрдирд╛рд╣рд░реВ рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛ рдЕрд▓рдЧрд╛рд╡ рд╕рдХреНрд╖рдо рдЧрд░реНрди

Fedora 40 рдпреЛрдЬрдирд╛рд╣рд░реВ рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛ рдЕрд▓рдЧрд╛рд╡ рд╕рдХреНрд╖рдо рдЧрд░реНрди

рдлреЗрдбреЛрд░рд╛ 40 рд░рд┐рд▓рд┐рдЬрд▓реЗ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рд╕рдХреНрд╖рдо рдЧрд░рд┐рдПрдХрд╛ рдкреНрд░рдгрд╛рд▓реАрдЧрдд рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛рд╣рд░реВрдХрд╛ рд▓рд╛рдЧрд┐ рдЕрд▓рдЧрд╛рд╡ рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рд╕рдХреНрд╖рдо рдкрд╛рд░реНрди рд╕реБрдЭрд╛рд╡ рджрд┐рдиреНрдЫ, рд╕рд╛рдереИ рдкреЛрд╕реНрдЯрдЧреНрд░реЗрдПрд╕рдХреНрдпреВрдПрд▓, Apache httpd, Nginx, рд░ MariaDB рдЬрд╕реНрддрд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдЕрдиреБрдкреНрд░рдпреЛрдЧрд╣рд░реВрд╕рдБрдЧ рд╕реЗрд╡рд╛рд╣рд░реВред рдпреЛ рдкрд░рд┐рд╡рд░реНрддрдирд▓реЗ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рдирдорд╛ рд╡рд┐рддрд░рдгрдХреЛ рд╕реБрд░рдХреНрд╖рд╛рд▓рд╛рдИ рдЙрд▓реНрд▓реЗрдЦрдиреАрдп рд░реВрдкрдорд╛ рдмрдврд╛рдЙрдиреЗрдЫ рд░ рдкреНрд░рдгрд╛рд▓реА рд╕реЗрд╡рд╛рд╣рд░реВрдорд╛ рдЕрдЬреНрдЮрд╛рдд рдХрдордЬреЛрд░реАрд╣рд░реВрд▓рд╛рдИ рд░реЛрдХреНрди рд╕рдореНрднрд╡ рдмрдирд╛рдЙрдБрджрдЫред рдлреЗрдбреЛрд░рд╛ рд╡рд┐рддрд░рдгрдХреЛ рд╡рд┐рдХрд╛рд╕рдХреЛ рдкреНрд░рд╛рд╡рд┐рдзрд┐рдХ рднрд╛рдЧрдХреЛ рд▓рд╛рдЧрд┐ рдЬрд┐рдореНрдореЗрд╡рд╛рд░ рдлреЗрд╕реНрдХреЛ (рдлреЗрдбреЛрд░рд╛ рдЗрдиреНрдЬрд┐рдирд┐рдпрд░рд┐рдЩ рд╕реНрдЯреЗрдпрд░рд┐рдЩ рдХрдорд┐рдЯреА) рд▓реЗ рдпреЛ рдкреНрд░рд╕реНрддрд╛рд╡рд▓рд╛рдИ рдЕрд╣рд┐рд▓реЗрд╕рдореНрдо рд╡рд┐рдЪрд╛рд░ рдЧрд░реЗрдХреЛ рдЫреИрдиред рд╕рд╛рдореБрджрд╛рдпрд┐рдХ рд╕рдореАрдХреНрд╖рд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдХреЛ рдХреНрд░рдордорд╛ рдкреНрд░рд╕реНрддрд╛рд╡ рдкрдирд┐ рдЕрд╕реНрд╡реАрдХрд╛рд░ рд╣реБрди рд╕рдХреНрдЫред

рд╕рдХреНрд╖рдо рдЧрд░реНрдирдХрд╛ рд▓рд╛рдЧрд┐ рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдПрдХрд╛ рд╕реЗрдЯрд┐рдЩрд╣рд░реВ:

  • PrivateTmp=yes - рдЕрд╕реНрдерд╛рдпреА рдлрд╛рдЗрд▓рд╣рд░реВрд╕рдБрдЧ рдЫреБрдЯреНрдЯреИ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВ рдЙрдкрд▓рдмреНрдз рдЧрд░рд╛рдЙрдБрджреИред
  • ProtectSystem=yes/full/strict тАФ рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрд▓рд╛рдИ рдкрдвреНрдиреЗ рдорд╛рддреНрд░ рдореЛрдбрдорд╛ рдорд╛рдЙрдиреНрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реН ("рдкреВрд░реНрдг" рдореЛрдбрдорд╛ - /etc/, рдХрдбрд╛ рдореЛрдбрдорд╛ - /dev/, /proc/ рд░ /sys/ рдмрд╛рд╣реЗрдХ рд╕рдмреИ рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВ)ред
  • ProtectHome=yes тАФ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рдЧреГрд╣ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВрдорд╛ рдкрд╣реБрдБрдЪ рдЕрд╕реНрд╡реАрдХрд╛рд░ рдЧрд░реНрджрдЫред
  • рдирд┐рдЬреА рдЙрдкрдХрд░рдгрд╣рд░реВ = рд╣реЛ - рдкрд╣реБрдБрдЪ рдорд╛рддреНрд░ рдЫреЛрдбреЗрд░ /dev/null, /dev/zero рд░ /dev/random
  • ProtectKernelTunables=yes - рдкрдвреНрдирдХреЛ рд▓рд╛рдЧрд┐ рдорд╛рддреНрд░ рдкрд╣реБрдБрдЪ /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, рдЖрджрд┐ред
  • ProtectKernelModules=yes - рдХрд░реНрдиреЗрд▓ рдореЛрдбреНрдпреБрд▓рд╣рд░реВ рд▓реЛрдб рдЧрд░реНрди рдирд┐рд╖реЗрдз рдЧрд░реНрдиреБрд╣реЛрд╕реНред
  • ProtectKernelLogs=yes - рдХрд░реНрдиреЗрд▓ рд▓рдЧрд╣рд░реВрд╕рдБрдЧ рдмрдлрд░рдорд╛ рдкрд╣реБрдБрдЪ рдирд┐рд╖реЗрдз рдЧрд░реНрджрдЫред
  • ProtectControlGroups=yes - /sys/fs/cgroup/ рдорд╛ рдкрдвреНрдиреЗ рдорд╛рддреНрд░ рдкрд╣реБрдБрдЪ
  • NoNewPrivileges=yes - setuid, setgid рд░ capabilities рдлреНрд▓реНрдпрд╛рдЧрд╣рд░реВ рдорд╛рд░реНрдлрдд рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд╣рд░реВрдХреЛ рдЙрдЪрд╛рдЗрд▓рд╛рдИ рдирд┐рд╖реЗрдз рдЧрд░реНрджреИред
  • PrivateNetwork=yes - рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреНрдпрд╛рдХрдХреЛ рдЫреБрдЯреНрдЯреИ рдиреЗрдорд╕реНрдкреЗрд╕рдорд╛ рдкреНрд▓реЗрд╕рдореЗрдиреНрдЯред
  • ProtectClock = рд╣реЛ - рд╕рдордп рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрди рдирд┐рд╖реЗрдз рдЧрд░реНрдиреБрд╣реЛрд╕реНред
  • ProtectHostname=yes - рд╣реЛрд╕реНрдЯ рдирд╛рдо рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрди рдирд┐рд╖реЗрдз рдЧрд░реНрджрдЫред
  • ProtectProc=рдЕрджреГрд╢реНрдп - рдЕрдиреНрдп рд╡реНрдпрдХреНрддрд┐рдХреЛ рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВ рд▓реБрдХрд╛рдЙрдиреЗ /proc рдорд╛ред
  • рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ = - рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрдиреБрд╣реЛрд╕реН

рдердк рд░реВрдкрдорд╛, рддрдкрд╛рдЗрдБ рдирд┐рдореНрди рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рд╕рдХреНрд╖рдо рдЧрд░реНрди рд╡рд┐рдЪрд╛рд░ рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ:

  • рдХреНрд╖рдорддрд╛ рдмрд╛рдЙрдиреНрдбрд┐рдВрдЧ рд╕реЗрдЯ =
  • DevicePolicy = рдмрдиреНрдж
  • KeyringMode=рдирд┐рдЬреА
  • рд▓рдХ рд╡реНрдпрдХреНрддрд┐рддреНрд╡ = рд╣реЛ
  • MemoryDenyWriteExecute=рд╣реЛ
  • рдирд┐рдЬреА рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ = рд╣реЛ
  • рд╣рдЯрд╛рдЙрдиреБрд╣реЛрд╕реН IPC=рд╣реЛ
  • RestrictAddressFamilies=
  • RestrictNamespaces = рд╣реЛ
  • RestrictRealtime = рд╣реЛ
  • RestrictSUIDSGID=рд╣реЛ
  • SystemCallFilter=
  • SystemCallArchitectures=рдиреЗрдЯрд┐рдн

рд╕реНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди