Fedora 40 මඟින් පෙරනිමි systemd සේවා සඳහා මෙන්ම PostgreSQL, Apache httpd, Nginx, සහ MariaDB වැනි තීරණාත්මක යෙදුම් ක්රියාත්මක කරන සේවාවන් සඳහා හුදකලා සැකසුම් සක්රීය කිරීමට යෝජනා කරයි. මෙම වෙනස මඟින් එහි පෙරනිමි වින්යාසය තුළ බෙදාහැරීමේ ආරක්ෂාව සැලකිය යුතු ලෙස වැඩිදියුණු කිරීමට සහ පද්ධති සේවාවන්හි නොදන්නා අවදානම් අවහිර කිරීමට හැකි වනු ඇතැයි අපේක්ෂා කෙරේ. Fedora බෙදාහැරීම සඳහා වන තාක්ෂණික සංවර්ධන කමිටුව වන FESCo (Fedora ඉංජිනේරු මෙහෙයුම් කමිටුව) විසින් යෝජනාව තවමත් සමාලෝචනය කර නොමැත. ප්රජා සමාලෝචන ක්රියාවලියේදී යෝජනාව ප්රතික්ෂේප කළ හැකිය.
සබල කිරීමට නිර්දේශිත සැකසුම්:
- PrivateTmp=yes — තාවකාලික ගොනු සමඟ වෙනම නාමාවලි සැපයීම.
- ProtectSystem=yes/full/strict — ගොනු පද්ධති කියවීමට පමණක් වන ආකාරයෙන් සවි කරන්න (“පූර්ණ” ආකාරයෙන් — /etc/, දැඩි ආකාරයෙන් — /dev/, /proc/ සහ /sys/ හැර අනෙකුත් සියලුම ගොනු පද්ධති).
- ProtectHome=yes — පරිශීලකයින්ගේ නිවාස නාමාවලි වලට ප්රවේශ වීම තහනම් කරයි.
- PrivateDevices=yes — /dev/null, /dev/zero, සහ /dev/random වෙත පමණක් ප්රවේශය තබමින්
- ProtectKernelTunables=yes — /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ආදිය වෙත කියවීමට පමණක් ප්රවේශය.
- ProtectKernelModules=ඔව් — කර්නල් මොඩියුල පැටවීම අක්රීය කරන්න.
- ProtectKernelLogs=ඔව් — කර්නල් ලොග් බෆරයට ප්රවේශය අක්රීය කරයි.
- ProtectControlGroups=yes — /sys/fs/cgroup/ වෙත කියවීමට පමණක් ප්රවේශය
- NoNewPrivileges=yes — setuid, setgid සහ capabilities ධජ හරහා වරප්රසාද උත්සන්න කිරීම අක්රීය කරයි.
- PrivateNetwork=yes — වෙනම ජාල තොග නාම අවකාශයක තැබීම.
- ProtectClock=yes — වේලාව වෙනස් කිරීම තහනම් කරයි.
- ProtectHostname=yes — ධාරක නාමය වෙනස් කිරීම තහනම් කරයි.
- ProtectProc=invisible — /proc හි අනෙකුත් ක්රියාවලීන් සඟවයි.
- පරිශීලක= — පරිශීලකයා වෙනස් කරන්න
ඊට අමතරව, පහත සැකසුම් සලකා බැලිය හැකිය:
- CapabilityBoundingSet=
- DevicePolicy=වසා ඇත
- KeyringMode=පෞද්ගලික
- LockPersonality=ඔව්
- MemoryDenyWriteExecute=ඔව්
- පුද්ගලික පරිශීලකයන්=ඔව්
- ඉවත් කරන්නIPC=ඔව්
- සීමා ලිපිනය පවුල්=
- සීමා කරන්නනාම අවකාශයන්=ඔව්
- RestrictRealtime=ඔව්
- සීමා කරන්නSUIDSGID=ඔව්
- පද්ධති ඇමතුම් පෙරහන=
- SystemCallArchitectures=ස්වදේශීය
මූලාශ්රය: opennet.ru
