Fedora 40 విడుదల డిఫాల్ట్గా ప్రారంభించబడిన systemd సిస్టమ్ సేవల కోసం ఐసోలేషన్ సెట్టింగ్లను ప్రారంభించాలని సూచిస్తుంది, అలాగే PostgreSQL, Apache httpd, Nginx మరియు MariaDB వంటి క్లిష్టమైన అప్లికేషన్లతో సేవలను అందిస్తుంది. ఈ మార్పు డిఫాల్ట్ కాన్ఫిగరేషన్లో పంపిణీ యొక్క భద్రతను గణనీయంగా పెంచుతుందని మరియు సిస్టమ్ సేవల్లో తెలియని దుర్బలత్వాలను నిరోధించడాన్ని సాధ్యం చేస్తుందని భావిస్తున్నారు. ఫెడోరా పంపిణీ అభివృద్ధిలో సాంకేతిక భాగానికి బాధ్యత వహించే FESCO (ఫెడోరా ఇంజనీరింగ్ స్టీరింగ్ కమిటీ) ఈ ప్రతిపాదనను ఇంకా పరిగణించలేదు. సంఘం సమీక్ష ప్రక్రియ సమయంలో కూడా ప్రతిపాదన తిరస్కరించబడవచ్చు.
ఎనేబుల్ చేయడానికి సిఫార్సు చేయబడిన సెట్టింగ్లు:
- PrivateTmp=yes - తాత్కాలిక ఫైల్లతో ప్రత్యేక డైరెక్టరీలను అందించడం.
- ProtectSystem=yes/full/strict — ఫైల్ సిస్టమ్ను రీడ్-ఓన్లీ మోడ్లో మౌంట్ చేయండి (“పూర్తి” మోడ్లో - /etc/, స్ట్రిక్ట్ మోడ్లో - /dev/, /proc/ మరియు /sys/ మినహా అన్ని ఫైల్ సిస్టమ్లు).
- ProtectHome=yes—యూజర్ హోమ్ డైరెక్టరీలకు యాక్సెస్ నిరాకరిస్తుంది.
- PrivateDevices=అవును - /dev/null, /dev/zero మరియు /dev/randomకి మాత్రమే యాక్సెస్ను వదిలివేస్తుంది
- ProtectKernelTunables=అవును - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq మొదలైన వాటికి చదవడానికి-మాత్రమే యాక్సెస్.
- ProtectKernelModules=అవును - కెర్నల్ మాడ్యూల్స్ లోడ్ చేయడాన్ని నిషేధించండి.
- ProtectKernelLogs=yes - కెర్నల్ లాగ్లతో బఫర్కు యాక్సెస్ను నిషేధిస్తుంది.
- ProtectControlGroups=yes - /sys/fs/cgroup/కి చదవడానికి మాత్రమే యాక్సెస్
- NoNewPrivileges=అవును - సెటుయిడ్, సెట్గిడ్ మరియు సామర్థ్యాల ఫ్లాగ్ల ద్వారా అధికారాలను పెంచడాన్ని నిషేధిస్తుంది.
- PrivateNetwork=yes - నెట్వర్క్ స్టాక్ యొక్క ప్రత్యేక నేమ్స్పేస్లో ప్లేస్మెంట్.
- ProtectClock=yes—సమయాన్ని మార్చడాన్ని నిషేధించండి.
- ProtectHostname=yes - హోస్ట్ పేరును మార్చడాన్ని నిషేధిస్తుంది.
- ProtectProc=invisible - /procలో ఇతరుల ప్రక్రియలను దాచడం.
- వాడుకరి= - వినియోగదారుని మార్చండి
అదనంగా, మీరు ఈ క్రింది సెట్టింగ్లను ప్రారంభించడాన్ని పరిగణించవచ్చు:
- CapabilityBoundingSet=
- పరికర విధానం=మూసివేయబడింది
- కీరింగ్ మోడ్=ప్రైవేట్
- లాక్ పర్సనాలిటీ=అవును
- MemoryDenyWriteExecute=అవును
- ప్రైవేట్ వినియోగదారులు=అవును
- తొలగించుIPC=అవును
- పరిమితి చిరునామా కుటుంబాలు=
- RestrictNamespaces=అవును
- RestrictRealtime=అవును
- పరిమితంSUIDSGID=అవును
- SystemCallFilter=
- SystemCallArchitectures=స్థానికమైనది
మూలం: opennet.ru