پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Fedora 40 سسٽم سروس آئسوليشن کي فعال ڪرڻ جو منصوبو

Fedora 40 سسٽم سروس آئسوليشن کي فعال ڪرڻ جو منصوبو

Fedora 40 رليز تجويز ڪيل نظام جي سسٽم سروسز لاءِ آئسوليشن سيٽنگ کي فعال ڪرڻ جو مشورو ڏئي ٿو جيڪي ڊفالٽ طور تي چالو ٿيل آهن، انهي سان گڏ مشن-نازڪ ايپليڪيشنن جهڙوڪ PostgreSQL، Apache httpd، Nginx، ۽ MariaDB سان خدمتون. اهو اميد آهي ته تبديلي خاص طور تي ڊفالٽ ترتيبن ۾ تقسيم جي سيڪيورٽي کي وڌائيندو ۽ اهو ممڪن ٿيندو ته سسٽم سروسز ۾ اڻڄاتل خطرات کي بلاڪ ڪرڻ. تجويز اڃا تائين FESCO (Fedora انجنيئرنگ اسٽيئرنگ ڪميٽي) پاران غور نه ڪيو ويو آهي، جيڪو Fedora تقسيم جي ترقي جي ٽيڪنيڪل حصي لاء ذميوار آهي. ڪميونٽي جي نظرثاني جي عمل دوران هڪ تجويز پڻ رد ڪري سگهجي ٿي.

چالو ڪرڻ لاءِ تجويز ڪيل سيٽنگون:

  • PrivateTmp=yes - عارضي فائلن سان الڳ ڊائريڪٽريون مهيا ڪرڻ.
  • ProtectSystem=yes/full/strict — فائل سسٽم کي صرف پڙهڻ واري موڊ ۾ لڳايو (“مڪمل” موڊ ۾ - /etc/، سخت موڊ ۾ - سڀ فائل سسٽم سواءِ /dev/، /proc/ ۽ /sys/).
  • ProtectHome = ها- استعمال ڪندڙ جي گهر ڊاريڪٽري تائين رسائي کي رد ڪري ٿو.
  • پرائيويٽ ڊيوائسز = ها - ڇڏيندي رسائي صرف /dev/null، /dev/zero ۽ /dev/random تائين
  • ProtectKernelTunables=yes - صرف پڙهڻ جي رسائي تائين /proc/sys/، /sys/، /proc/acpi، /proc/fs، /proc/irq، وغيره.
  • ProtectKernelModules=yes - ڪرنل ماڊل لوڊ ڪرڻ کان منع ڪريو.
  • ProtectKernelLogs=yes - kernel لاگز سان گڏ بفر تائين پهچ کي روڪي ٿو.
  • ProtectControlGroups=ها - صرف پڙهڻ جي رسائي تائين /sys/fs/cgroup/
  • NoNewPrivileges=yes - ممنوع خصوصيات جي بلندي کي سيٽيوڊ، سيٽگيڊ ۽ قابليت جي جھنڊن ذريعي.
  • پرائيويٽ نيٽ ورڪ = ها - نيٽ ورڪ اسٽيڪ جي الڳ نالي واري جاءِ ۾ جڳهه.
  • ProtectClock = ها- وقت کي تبديل ڪرڻ کان منع ڪريو.
  • ProtectHostname = ها - ميزبان جو نالو تبديل ڪرڻ کان منع ڪري ٿو.
  • ProtectProc = پوشیدہ - ٻين ماڻهن جي عملن کي لڪائڻ /proc.
  • استعمال ڪندڙ = - استعمال ڪندڙ کي تبديل ڪريو

اضافي طور تي، توھان ھيٺ ڏنل سيٽنگون چالو ڪرڻ تي غور ڪري سگھو ٿا:

  • قابليت بائونڊنگ سيٽ =
  • DevicePolicy = بند ٿيل
  • Keyring Mode = خانگي
  • Lock Personality = ها
  • MemoryDenyWriteExecute=ها
  • نجي استعمال ڪندڙ = ها
  • هٽايو IPC = ها
  • RestrictAddressFamilies=
  • RestrictNamespaces = ها
  • RestrictRestrictRealtime = ها
  • RestrictSUIDSGID = ها
  • سسٽم ڪال فلٽر =
  • سسٽم ڪال آرڪيٽيڪچر = ڏيهي

جو ذريعو: opennet.ru

تبصرو شامل ڪريو