ProHoster > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > ఫెడోరా 40 సిస్టమ్ సర్వీస్ ఐసోలేషన్‌ను ప్రారంభించాలని యోచిస్తోంది

ఫెడోరా 40 సిస్టమ్ సర్వీస్ ఐసోలేషన్‌ను ప్రారంభించాలని యోచిస్తోంది

ఫెడోరా 40, డిఫాల్ట్ సిస్టమ్‌డి సేవలతో పాటు, పోస్ట్‌గ్రెస్‌క్యూఎల్, అపాచీ హెచ్‌టిటిపిడి, ఎన్‌జింక్స్, మరియు మారియాడిబి వంటి కీలకమైన అప్లికేషన్‌లను నడుపుతున్న సేవల కోసం కూడా ఐసోలేషన్ సెట్టింగ్‌లను ఎనేబుల్ చేయాలని ప్రతిపాదిస్తోంది. ఈ మార్పు, డిస్ట్రిబ్యూషన్ యొక్క డిఫాల్ట్ కాన్ఫిగరేషన్‌లో దాని భద్రతను గణనీయంగా మెరుగుపరుస్తుందని మరియు సిస్టమ్ సేవలలోని తెలియని బలహీనతలను నిరోధించడానికి వీలు కల్పిస్తుందని భావిస్తున్నారు. ఈ ప్రతిపాదనను ఫెడోరా డిస్ట్రిబ్యూషన్ యొక్క సాంకేతిక అభివృద్ధి కమిటీ అయిన ఫెస్కో (ఫెడోరా ఇంజనీరింగ్ స్టీరింగ్ కమిటీ) ఇంకా సమీక్షించలేదు. కమ్యూనిటీ సమీక్ష ప్రక్రియలో ఈ ప్రతిపాదన తిరస్కరించబడే అవకాశం కూడా ఉంది.

ప్రారంభించవలసిన సిఫార్సు చేయబడిన సెట్టింగ్‌లు:

  • PrivateTmp=yes — తాత్కాలిక ఫైళ్లతో ప్రత్యేక డైరెక్టరీలను అందించడం.
  • ProtectSystem=yes/full/strict — ఫైల్ సిస్టమ్‌లను రీడ్-ఓన్లీ మోడ్‌లో మౌంట్ చేస్తుంది ("ఫుల్" మోడ్‌లో — /etc/, స్ట్రిక్ట్ మోడ్‌లో — /dev/, /proc/ మరియు /sys/ మినహా అన్ని ఫైల్ సిస్టమ్‌లు).
  • ProtectHome=yes — వినియోగదారుల హోమ్ డైరెక్టరీలకు ప్రాప్యతను నిరోధిస్తుంది.
  • PrivateDevices=yes — యాక్సెస్‌ను కేవలం /dev/null, /dev/zero, మరియు /dev/random లకు మాత్రమే వదిలివేస్తుంది
  • ProtectKernelTunables=yes — /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, మొదలైన వాటికి చదవడానికి మాత్రమే అనుమతి.
  • ProtectKernelModules=yes — కెర్నల్ మాడ్యూల్స్ లోడ్ చేయడాన్ని నిలిపివేస్తుంది.
  • ProtectKernelLogs=yes — కెర్నల్ లాగ్ బఫర్‌కు ప్రాప్యతను నిలిపివేస్తుంది.
  • ProtectControlGroups=yes — /sys/fs/cgroup/ కు చదవడానికి మాత్రమే అనుమతి
  • NoNewPrivileges=yes — setuid, setgid, మరియు capabilities ఫ్లాగ్‌ల ద్వారా ప్రివిలేజ్ ఎస్కలేషన్‌ను నిలిపివేస్తుంది.
  • PrivateNetwork=yes — ఒక ప్రత్యేక నెట్‌వర్క్ స్టాక్ నేమ్‌స్పేస్‌లో ఉంచబడుతోంది.
  • ProtectClock=yes — సమయాన్ని మార్చడాన్ని నిరోధిస్తుంది.
  • ProtectHostname=yes — హోస్ట్ పేరును మార్చడాన్ని నిరోధిస్తుంది.
  • ProtectProc=invisible — /proc లోని ఇతర ప్రాసెస్‌లను దాచిపెడుతుంది.
  • వినియోగదారు = — వినియోగదారుని మార్చండి

అదనంగా, ఈ క్రింది సెట్టింగ్‌లను పరిగణించవచ్చు:

  • సామర్థ్య బౌండింగ్ సెట్=
  • పరికర విధానం=మూసివేయబడింది
  • కీరింగ్ మోడ్ = ప్రైవేట్
  • LockPersonality=yes
  • MemoryDenyWriteExecute=yes
  • ప్రైవేట్ వినియోగదారులు=అవును
  • RemoveIPC=yes
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=yes
  • సిస్టమ్ కాల్ ఫిల్టర్ =
  • సిస్టమ్ కాల్ ఆర్కిటెక్చర్స్ = నేటివ్

మూలం: opennet.ru

DDoS రక్షణ, VPS VDS సర్వర్‌లతో సైట్‌ల కోసం నమ్మకమైన హోస్టింగ్‌ను కొనుగోలు చేయండి 🔥 DDoS రక్షణతో కూడిన నమ్మకమైన వెబ్‌సైట్ హోస్టింగ్, VPS VDS సర్వర్‌లను కొనండి | ProHoster