د فیډورا 40 خپرونه وړاندیز کوي چې د سیسټم شوي سیسټم خدماتو لپاره د جلا کولو ترتیبات فعال کړي چې د ډیفالټ لخوا فعال شوي، او همدارنګه د مهمو غوښتنلیکونو لکه PostgreSQL، Apache httpd، Nginx، او MariaDB سره خدمتونه. تمه کیږي چې بدلون به په ډیفالټ ترتیب کې د توزیع امنیت کې د پام وړ زیاتوالی راولي او دا به د سیسټم خدماتو کې د نامعلومو زیانونو مخه ونیسي. دا وړاندیز تر اوسه د FESCO (د فیډورا انجینرۍ سټرینګ کمیټې) لخوا نه دی په پام کې نیول شوی، کوم چې د فیډورا توزیع د پراختیا تخنیکي برخې مسولیت لري. د ټولنې بیاکتنې پروسې په جریان کې یو وړاندیز هم رد کیدی شي.
د فعالولو لپاره وړاندیز شوي ترتیبات:
- PrivateTmp=yes - د لنډمهاله فایلونو سره جلا لارښود چمتو کول.
- ProtectSystem=yes/full/strict — د فایل سیسټم یوازې د لوستلو حالت کې نصب کړئ (په "بشپړ" حالت کې - /etc/، په سخت حالت کې - ټول فایل سیسټمونه پرته له /dev/، /proc/ او /sys/).
- ProtectHome = هو — د کارونکي کور لارښودونو ته لاسرسی ردوي.
- خصوصي وسایل = هو - یوازې /dev/null، /dev/zero او /dev/random ته لاسرسی پریږدي
- ProtectKernelTunables=yes - /proc/sys/، /sys/، /proc/acpi، /proc/fs، /proc/irq، او داسې نورو ته یوازې د لوستلو لاسرسی.
- ProtectKernelModules=هو - د کرنل ماډلونو بارول منع کړئ.
- ProtectKernelLogs=yes - د کرنل لاګونو سره بفر ته لاسرسی منع کوي.
- ProtectControlGroups=هو - /sys/fs/cgroup/ ته یوازې د لوستلو لاسرسی
- NoNewPrivileges = هو - د سیټیوډ، سیټګیډ او وړتیاو بیرغونو له لارې د امتیازاتو لوړولو منع کول.
- PrivateNetwork = هو - د شبکې سټک په جلا نوم ځای کې ځای په ځای کول.
- ProtectClock = هو — د وخت بدلول منع کوي.
- ProtectHostname = هو - د کوربه نوم بدلول منع کوي.
- ProtectProc=invisible - په /proc کې د نورو خلکو پروسې پټول.
- کارن = - کاروونکي بدل کړئ
سربیره پردې، تاسو کولی شئ د لاندې ترتیباتو فعالولو په اړه فکر وکړئ:
- د وړتیا بانډنګ سیټ=
- Device Policy= تړل شوی
- کیرینګ موډ = شخصي
- لاک شخصیت = هو
- MemoryDenyWriteExecute=هو
- شخصي کارونکي = هو
- IPC لرې کړئ = هو
- RestrictAddressFamilies=
- RestrictNamespaces=هو
- RestrictRealtime = هو
- RestrictSUIDSGID=هو
- SystemCallFilter=
- SystemCallArchitectures=اصلي
سرچینه: opennet.ru