ProHoster > blog > habari za mtandao > Fedora 40 inapanga kuwezesha kutengwa kwa huduma ya mfumo

Fedora 40 inapanga kuwezesha kutengwa kwa huduma ya mfumo

Toleo la Fedora 40 linapendekeza kuwezesha mipangilio ya kutengwa kwa huduma za mfumo wa mfumo ambazo zimewezeshwa kwa chaguo-msingi, pamoja na huduma zilizo na programu muhimu kama vile PostgreSQL, Apache httpd, Nginx, na MariaDB. Inatarajiwa kwamba mabadiliko yataongeza kwa kiasi kikubwa usalama wa usambazaji katika usanidi wa kawaida na itafanya iwezekanavyo kuzuia udhaifu usiojulikana katika huduma za mfumo. Pendekezo hilo bado halijazingatiwa na FESCo (Kamati ya Uendeshaji ya Uhandisi ya Fedora), ambayo inawajibika kwa sehemu ya kiufundi ya maendeleo ya usambazaji wa Fedora. Pendekezo linaweza pia kukataliwa wakati wa mchakato wa ukaguzi wa jumuiya.

Mipangilio iliyopendekezwa ili kuwezesha:

  • PrivateTmp=ndio - kutoa saraka tofauti na faili za muda.
  • ProtectSystem=ndiyo/full/strict β€” weka mfumo wa faili katika hali ya kusoma tu (katika hali ya "kamili" - /etc/, katika hali kali - mifumo yote ya faili isipokuwa /dev/, /proc/ na /sys/).
  • ProtectHome=ndiyo-inakataa ufikiaji wa saraka za nyumbani za watumiaji.
  • PrivateDevices=ndio - kuacha ufikiaji tu kwa /dev/null, /dev/zero na /dev/random
  • ProtectKernelTunables=ndiyo - ufikiaji wa kusoma pekee kwa /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, n.k.
  • ProtectKernelModules=ndiyo - zuia upakiaji wa moduli za kernel.
  • ProtectKernelLogs=yes - inakataza ufikiaji wa bafa na kumbukumbu za kernel.
  • ProtectControlGroups=ndiyo - ufikiaji wa kusoma tu kwa /sys/fs/cgroup/
  • NoNewPrivileges=ndiyo - inakataza uinuaji wa haki kupitia setuid, setgid na bendera za uwezo.
  • PrivateNetwork=ndio - uwekaji katika nafasi tofauti ya majina ya rundo la mtandao.
  • ProtectClock=ndiyoβ€”kataza kubadilisha saa.
  • ProtectHostname=yes - inakataza kubadilisha jina la mwenyeji.
  • ProtectProc=invisible - kuficha michakato ya watu wengine katika /proc.
  • Mtumiaji= - Badilisha mtumiaji

Kwa kuongeza, unaweza kufikiria kuwezesha mipangilio ifuatayo:

  • CapabilityBoundingSet=
  • DevicePolicy=imefungwa
  • KeyringMode=faragha
  • LockPersonality=ndiyo
  • MemoryDenyWriteExecute=ndiyo
  • Watumiaji Binafsi=ndio
  • OndoaIPC=ndio
  • ZuiaAddressFamilies=
  • RestrictNamespaces=ndiyo
  • RestrictRealtime=ndiyo
  • RestrictSUIDSGID=ndiyo
  • SystemCallFilter=
  • SystemCallArchitectures=asili

Chanzo: opennet.ru

Kuongeza maoni