புரோஹோஸ்டர் > Блог > இணைய செய்தி > ஃபெடோரா 40 அமைப்பு சேவை தனிமைப்படுத்தலை செயல்படுத்த திட்டமிட்டுள்ளது

ஃபெடோரா 40 அமைப்பு சேவை தனிமைப்படுத்தலை செயல்படுத்த திட்டமிட்டுள்ளது

ஃபெடோரா 40 வெளியீடு, முன்னிருப்பாக இயக்கப்படும் systemd சிஸ்டம் சேவைகளுக்கான தனிமைப்படுத்தல் அமைப்புகளையும், PostgreSQL, Apache httpd, Nginx மற்றும் MariaDB போன்ற முக்கியமான பயன்பாடுகளுடன் கூடிய சேவைகளையும் செயல்படுத்த பரிந்துரைக்கிறது. இந்த மாற்றம் இயல்புநிலை உள்ளமைவில் விநியோகத்தின் பாதுகாப்பை கணிசமாக அதிகரிக்கும் மற்றும் கணினி சேவைகளில் அறியப்படாத பாதிப்புகளைத் தடுப்பதை சாத்தியமாக்கும் என்று எதிர்பார்க்கப்படுகிறது. ஃபெடோரா விநியோகத்தின் வளர்ச்சியின் தொழில்நுட்ப பகுதிக்கு பொறுப்பான ஃபெடோரா இன்ஜினியரிங் ஸ்டீயரிங் கமிட்டியால் இந்த முன்மொழிவு இன்னும் பரிசீலிக்கப்படவில்லை. சமூக மதிப்பாய்வு செயல்பாட்டின் போது ஒரு முன்மொழிவும் நிராகரிக்கப்படலாம்.

இயக்குவதற்கு பரிந்துரைக்கப்படும் அமைப்புகள்:

  • PrivateTmp=yes - தற்காலிக கோப்புகளுடன் தனி கோப்பகங்களை வழங்குகிறது.
  • ProtectSystem=yes/full/strict — கோப்பு முறைமையை படிக்க மட்டும் பயன்முறையில் ஏற்றவும் ("முழு" முறையில் - /etc/, கண்டிப்பான முறையில் - /dev/, /proc/ மற்றும் /sys/ தவிர அனைத்து கோப்பு முறைமைகளும்).
  • ProtectHome=yes—பயனர் வீட்டு கோப்பகங்களுக்கான அணுகலை மறுக்கிறது.
  • PrivateDevices=ஆம் - /dev/null, /dev/zero மற்றும் /dev/random க்கு மட்டுமே அணுகலை விட்டுவிடுகிறது
  • ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq போன்றவற்றுக்கு படிக்க மட்டும் அணுகல்.
  • ProtectKernelModules=ஆம் - கர்னல் தொகுதிகளை ஏற்றுவதைத் தடுக்கிறது.
  • ProtectKernelLogs=yes - கர்னல் பதிவுகளுடன் இடையகத்தை அணுகுவதைத் தடுக்கிறது.
  • ProtectControlGroups=yes - படிக்க மட்டுமேயான அணுகல் /sys/fs/cgroup/
  • NoNewPrivileges=ஆம் - செட்யூட், செட்ஜிட் மற்றும் திறன்கள் கொடிகள் மூலம் சிறப்புரிமைகளை உயர்த்துவதைத் தடுக்கிறது.
  • PrivateNetwork=ஆம் - பிணைய அடுக்கின் தனி பெயர்வெளியில் இடம்.
  • ProtectClock=yes—நேரத்தை மாற்றுவதைத் தடுக்கவும்.
  • ProtectHostname=yes - ஹோஸ்ட் பெயரை மாற்றுவதை தடை செய்கிறது.
  • ProtectProc=கண்ணுக்கு தெரியாதது - /proc இல் மற்றவர்களின் செயல்முறைகளை மறைத்தல்.
  • பயனர்= - பயனரை மாற்றவும்

கூடுதலாக, பின்வரும் அமைப்புகளை இயக்குவதை நீங்கள் பரிசீலிக்கலாம்:

  • CapabilityBoundingSet=
  • DevicePolicy=மூடப்பட்டது
  • KeyringMode=தனியார்
  • பூட்டு ஆளுமை=ஆம்
  • MemoryDenyWriteExecute=ஆம்
  • தனியார் பயனர்கள்=ஆம்
  • அகற்றுIPC=ஆம்
  • கட்டுப்பாடு முகவரி குடும்பங்கள்=
  • Restrict Namespaces=yes
  • நிகழ்நேரத்தைக் கட்டுப்படுத்து=ஆம்
  • கட்டுப்படுத்துSUIDSGID=ஆம்
  • SystemCallFilter=
  • SystemCallArchitectures=பூர்வீகம்

ஆதாரம்: opennet.ru

கருத்தைச் சேர்