ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > ఫెడోరా 40 సిస్టమ్ సర్వీస్ ఐసోలేషన్‌ను ప్రారంభించాలని యోచిస్తోంది

ఫెడోరా 40 సిస్టమ్ సర్వీస్ ఐసోలేషన్‌ను ప్రారంభించాలని యోచిస్తోంది

Fedora 40 విడుదల డిఫాల్ట్‌గా ప్రారంభించబడిన systemd సిస్టమ్ సేవల కోసం ఐసోలేషన్ సెట్టింగ్‌లను ప్రారంభించాలని సూచిస్తుంది, అలాగే PostgreSQL, Apache httpd, Nginx మరియు MariaDB వంటి క్లిష్టమైన అప్లికేషన్‌లతో సేవలను అందిస్తుంది. ఈ మార్పు డిఫాల్ట్ కాన్ఫిగరేషన్‌లో పంపిణీ యొక్క భద్రతను గణనీయంగా పెంచుతుందని మరియు సిస్టమ్ సేవల్లో తెలియని దుర్బలత్వాలను నిరోధించడాన్ని సాధ్యం చేస్తుందని భావిస్తున్నారు. ఫెడోరా పంపిణీ అభివృద్ధిలో సాంకేతిక భాగానికి బాధ్యత వహించే FESCO (ఫెడోరా ఇంజనీరింగ్ స్టీరింగ్ కమిటీ) ఈ ప్రతిపాదనను ఇంకా పరిగణించలేదు. సంఘం సమీక్ష ప్రక్రియ సమయంలో కూడా ప్రతిపాదన తిరస్కరించబడవచ్చు.

ఎనేబుల్ చేయడానికి సిఫార్సు చేయబడిన సెట్టింగ్‌లు:

  • PrivateTmp=yes - తాత్కాలిక ఫైల్‌లతో ప్రత్యేక డైరెక్టరీలను అందించడం.
  • ProtectSystem=yes/full/strict — ఫైల్ సిస్టమ్‌ను రీడ్-ఓన్లీ మోడ్‌లో మౌంట్ చేయండి (“పూర్తి” మోడ్‌లో - /etc/, స్ట్రిక్ట్ మోడ్‌లో - /dev/, /proc/ మరియు /sys/ మినహా అన్ని ఫైల్ సిస్టమ్‌లు).
  • ProtectHome=yes—యూజర్ హోమ్ డైరెక్టరీలకు యాక్సెస్ నిరాకరిస్తుంది.
  • PrivateDevices=అవును - /dev/null, /dev/zero మరియు /dev/randomకి మాత్రమే యాక్సెస్‌ను వదిలివేస్తుంది
  • ProtectKernelTunables=అవును - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq మొదలైన వాటికి చదవడానికి-మాత్రమే యాక్సెస్.
  • ProtectKernelModules=అవును - కెర్నల్ మాడ్యూల్స్ లోడ్ చేయడాన్ని నిషేధించండి.
  • ProtectKernelLogs=yes - కెర్నల్ లాగ్‌లతో బఫర్‌కు యాక్సెస్‌ను నిషేధిస్తుంది.
  • ProtectControlGroups=yes - /sys/fs/cgroup/కి చదవడానికి మాత్రమే యాక్సెస్
  • NoNewPrivileges=అవును - సెటుయిడ్, సెట్‌గిడ్ మరియు సామర్థ్యాల ఫ్లాగ్‌ల ద్వారా అధికారాలను పెంచడాన్ని నిషేధిస్తుంది.
  • PrivateNetwork=yes - నెట్‌వర్క్ స్టాక్ యొక్క ప్రత్యేక నేమ్‌స్పేస్‌లో ప్లేస్‌మెంట్.
  • ProtectClock=yes—సమయాన్ని మార్చడాన్ని నిషేధించండి.
  • ProtectHostname=yes - హోస్ట్ పేరును మార్చడాన్ని నిషేధిస్తుంది.
  • ProtectProc=invisible - /procలో ఇతరుల ప్రక్రియలను దాచడం.
  • వాడుకరి= - వినియోగదారుని మార్చండి

అదనంగా, మీరు ఈ క్రింది సెట్టింగ్‌లను ప్రారంభించడాన్ని పరిగణించవచ్చు:

  • CapabilityBoundingSet=
  • పరికర విధానం=మూసివేయబడింది
  • కీరింగ్ మోడ్=ప్రైవేట్
  • లాక్ పర్సనాలిటీ=అవును
  • MemoryDenyWriteExecute=అవును
  • ప్రైవేట్ వినియోగదారులు=అవును
  • తొలగించుIPC=అవును
  • పరిమితి చిరునామా కుటుంబాలు=
  • RestrictNamespaces=అవును
  • RestrictRealtime=అవును
  • పరిమితంSUIDSGID=అవును
  • SystemCallFilter=
  • SystemCallArchitectures=స్థానికమైనది

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి