ProHoster > Blog > ахбори интернет > Fedora 40 нақша дорад, ки изолятсияи хидматрасонии системаро фаъол созад

Fedora 40 нақша дорад, ки изолятсияи хидматрасонии системаро фаъол созад

Нашри Fedora 40 имкон медиҳад, ки танзимоти изолятсия барои хидматҳои системаи системавӣ, ки бо нобаёнӣ фаъоланд, инчунин хидматҳо бо замимаҳои муҳим ба монанди PostgreSQL, Apache httpd, Nginx ва MariaDB. Интизор меравад, ки тағирот амнияти тақсимотро дар конфигуратсияи пешфарз ба таври қобили мулоҳиза афзоиш дода, имкон медиҳад, ки осебпазириҳои номаълум дар хидматрасониҳои система баста шаванд. Пешниҳод то ҳол аз ҷониби FESCo (Кумитаи роҳбарикунандаи муҳандисии Fedora), ки барои қисми техникии таҳияи тақсимоти Fedora масъул аст, баррасӣ нашудааст. Пешниҳод инчунин метавонад ҳангоми баррасии ҷомеа рад карда шавад.

Танзимоти тавсияшуда барои фаъол кардан:

  • PrivateTmp=ҳа - таъмин намудани директорияҳои алоҳида бо файлҳои муваққатӣ.
  • ProtectSystem=yes/full/strict — системаи файлиро дар ҳолати танҳо барои хондан васл кунед (дар ҳолати "пурра" - /etc/, дар реҷаи қатъӣ - ҳама системаҳои файлӣ ба истиснои /dev/, /proc/ ва /sys/).
  • ProtectHome=yes — дастрасӣ ба феҳристҳои хонагии корбаронро рад мекунад.
  • PrivateDevices=ҳа - иҷозати дастрасӣ танҳо ба /dev/null, /dev/zero ва /dev/random
  • ProtectKernelTunables=ҳа - дастрасии танҳо барои хондан ба /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq ва ғайра.
  • ProtectKernelModules=ҳа - боркунии модулҳои ядроро манъ мекунад.
  • ProtectKernelLogs=ҳа - дастрасӣ ба буфер бо сабтҳои ядроиро манъ мекунад.
  • ProtectControlGroups=ҳа - дастрасии танҳо барои хондан ба /sys/fs/cgroup/
  • NoNewPrivileges=ҳа - манъ кардани болоравии имтиёзҳо тавассути парчамҳои setuid, setgid ва қобилиятҳо.
  • PrivateNetwork=ҳа - ҷойгиркунӣ дар фазои алоҳидаи стек шабака.
  • ProtectClock=ҳа — тағир додани вақтро манъ кунед.
  • ProtectHostname=ҳа - тағир додани номи мизбонро манъ мекунад.
  • ProtectProc=ноаён - пинҳон кардани равандҳои одамони дигар дар /proc.
  • User= - тағир додани корбар

Илова бар ин, шумо метавонед танзимоти зеринро фаъол созед:

  • CapabilityBoundingSet =
  • DevicePolicy = пӯшида
  • KeyringMode=хусусӣ
  • LockPersonality=ҳа
  • MemoryDenyWriteExecute=ҳа
  • PrivateUsers=ҳа
  • Хориҷ IPC = ҳа
  • RestrictAddressFamilies=
  • RestrictNamespaces=ҳа
  • RestrictRealtime=ҳа
  • RestrictSUIDSGID=ҳа
  • SystemCallFilter =
  • SystemCallArchitectures = модарӣ

Манбаъ: opennet.ru

Илова Эзоҳ