ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Fedora 40 පද්ධති සේවා හුදකලා කිරීම සක්‍රීය කිරීමට සැලසුම් කරයි

Fedora 40 පද්ධති සේවා හුදකලා කිරීම සක්‍රීය කිරීමට සැලසුම් කරයි

Fedora 40 නිකුතුව යෝජනා කරන්නේ පෙරනිමියෙන් සක්‍රීය කර ඇති systemd පද්ධති සේවා සඳහා හුදකලා සැකසුම් සක්‍රීය කිරීම මෙන්ම PostgreSQL, Apache httpd, Nginx, සහ MariaDB වැනි තීරණාත්මක යෙදුම් සහිත සේවාවන් ය. මෙම වෙනස පෙරනිමි වින්‍යාසය තුළ බෙදාහැරීමේ ආරක්ෂාව සැලකිය යුතු ලෙස වැඩි කරනු ඇති අතර පද්ධති සේවාවන්හි නොදන්නා දුර්වලතා අවහිර කිරීමට හැකි වනු ඇතැයි අපේක්ෂා කෙරේ. ෆෙඩෝරා බෙදාහැරීමේ සංවර්ධනයේ තාක්ෂණික කොටස සඳහා වගකිව යුතු ෆෙඩෝරා (ෆෙඩෝරා ඉංජිනේරු මෙහෙයුම් කමිටුව) විසින් මෙම යෝජනාව තවමත් සලකා බලා නොමැත. ප්‍රජා සමාලෝචන ක්‍රියාවලියේදී යෝජනාවක් ද ප්‍රතික්ෂේප විය හැක.

සබල කිරීමට නිර්දේශිත සැකසුම්:

  • PrivateTmp=ඔව් - තාවකාලික ගොනු සහිත වෙනම නාමාවලි සැපයීම.
  • ProtectSystem=yes/full/strict — ගොනු පද්ධතිය කියවීමට-පමණි ආකාරයෙන් සවි කරන්න ("සම්පූර්ණ" ආකාරයෙන් - /etc/, දැඩි ආකාරයෙන් - /dev/, /proc/ සහ /sys/ හැර සියලුම ගොනු පද්ධති).
  • ProtectHome=yes—පරිශීලක නිවාස නාමාවලි වෙත ප්‍රවේශය ප්‍රතික්ෂේප කරයි.
  • PrivateDevices=ඔව් - /dev/null, /dev/zero සහ /dev/random වෙත පමණක් ප්‍රවේශය තබයි
  • ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ආදිය වෙත කියවීමට පමණක් ප්‍රවේශය.
  • ProtectKernelModules=ඔව් - කර්නල් මොඩියුල පැටවීම තහනම් කරන්න.
  • ProtectKernelLogs=ඔව් - කර්නල් ලොග සහිත බෆරය වෙත ප්‍රවේශ වීම තහනම් කරයි.
  • ProtectControlGroups=ඔව් - /sys/fs/cgroup/ වෙත කියවීමට පමණක් ප්‍රවේශය
  • NoNewPrivileges=ඔව් - setuid, setgid සහ capabilities කොඩි හරහා වරප්‍රසාද ඉහළ නැංවීම තහනම් කිරීම.
  • PrivateNetwork=ඔව් - ජාල තොගයේ වෙනම නාම අවකාශයක ස්ථානගත කිරීම.
  • ProtectClock=ඔව්-කාලය වෙනස් කිරීම තහනම් කරන්න.
  • ProtectHostname=ඔව් - සත්කාරක නාමය වෙනස් කිරීම තහනම් කරයි.
  • ProtectProc=අදෘශ්‍යමාන - /proc හි වෙනත් පුද්ගලයින්ගේ ක්‍රියාවලි සැඟවීම.
  • User= - පරිශීලකයා වෙනස් කරන්න

අතිරේකව, ඔබට පහත සැකසුම් සක්‍රීය කිරීමට සලකා බැලිය හැක:

  • CapabilityBoundingSet=
  • DevicePolicy=වසා ඇත
  • KeyringMode=පෞද්ගලික
  • LockPersonality=ඔව්
  • MemoryDenyWriteExecute=ඔව්
  • PrivateUsers=ඔව්
  • RemoveIPC=ඔව්
  • RestrictAddressFamilies=
  • සීමා කරන්නNamespaces=ඔව්
  • RestrictRealtime=ඔව්
  • සීමා කරන්නSUIDSGID=ඔව්
  • SystemCallFilter=
  • SystemCallArchitectures=ස්වදේශීය

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න