پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > فیڈورا 40 سسٹم سروس آئسولیشن کو فعال کرنے کا ارادہ رکھتی ہے۔

فیڈورا 40 سسٹم سروس آئسولیشن کو فعال کرنے کا ارادہ رکھتی ہے۔

فیڈورا 40 ریلیز سسٹمڈ سسٹم سروسز کے لیے تنہائی کی ترتیبات کو فعال کرنے کا مشورہ دیتی ہے جو بطور ڈیفالٹ فعال ہوتی ہیں، نیز مشن کے لیے اہم ایپلی کیشنز جیسے PostgreSQL، Apache httpd، Nginx، اور MariaDB کے ساتھ خدمات۔ امید کی جاتی ہے کہ یہ تبدیلی ڈیفالٹ کنفیگریشن میں ڈسٹری بیوشن کی سیکیورٹی میں نمایاں اضافہ کرے گی اور سسٹم سروسز میں نامعلوم کمزوریوں کو روکنا ممکن بنائے گی۔ اس تجویز پر ابھی تک FESCO (Fedora انجینئرنگ اسٹیئرنگ کمیٹی) نے غور نہیں کیا، جو Fedora کی تقسیم کی ترقی کے تکنیکی حصے کے لیے ذمہ دار ہے۔ کمیونٹی کے جائزے کے عمل کے دوران ایک تجویز کو بھی مسترد کیا جا سکتا ہے۔

فعال کرنے کے لیے تجویز کردہ ترتیبات:

  • PrivateTmp=yes - عارضی فائلوں کے ساتھ علیحدہ ڈائریکٹریز فراہم کرنا۔
  • ProtectSystem=yes/full/strict — فائل سسٹم کو صرف پڑھنے کے موڈ میں ماؤنٹ کریں ("فل" موڈ میں - /etc/، سخت موڈ میں - تمام فائل سسٹم سوائے /dev/، /proc/ اور /sys/)۔
  • ProtectHome=yes — صارف کی ہوم ڈائریکٹریز تک رسائی سے انکار کرتا ہے۔
  • پرائیویٹ ڈیوائسز = ہاں - صرف /dev/null، /dev/zero اور /dev/random تک رسائی چھوڑنا
  • ProtectKernelTunables=yes - /proc/sys/، /sys/، /proc/acpi، /proc/fs، /proc/irq، وغیرہ تک صرف پڑھنے کی رسائی۔
  • ProtectKernelModules=yes - کرنل ماڈیول لوڈ کرنے سے منع کریں۔
  • ProtectKernelLogs=yes - کرنل لاگز کے ساتھ بفر تک رسائی کو روکتا ہے۔
  • ProtectControlGroups=yes - /sys/fs/cgroup/ تک صرف پڑھنے کی رسائی
  • NoNewPrivileges=yes - setuid، setgid اور capabilities کے جھنڈوں کے ذریعے مراعات کی بلندی کو روکنا۔
  • PrivateNetwork=yes - نیٹ ورک اسٹیک کے الگ نام کی جگہ میں جگہ کا تعین۔
  • ProtectClock = ہاں — وقت کو تبدیل کرنے سے منع کریں۔
  • ProtectHostname=yes - میزبان کا نام تبدیل کرنے سے منع کرتا ہے۔
  • ProtectProc=invisible - دوسرے لوگوں کے عمل کو /proc میں چھپانا۔
  • صارف = - صارف کو تبدیل کریں۔

مزید برآں، آپ درج ذیل ترتیبات کو فعال کرنے پر غور کر سکتے ہیں:

  • صلاحیت باؤنڈنگ سیٹ =
  • DevicePolicy=بند
  • کیرنگ موڈ = نجی
  • لاک پرسنالٹی = ہاں
  • MemoryDenyWriteExecute=ہاں
  • پرائیویٹ یوزرز = ہاں
  • ہٹائیں IPC=ہاں
  • RestrictAddressFamilies=
  • RestrictNamespaces=ہاں
  • ریسٹریٹ ریئل ٹائم = ہاں
  • RestrictSUIDSGID=ہاں
  • سسٹم کال فلٹر =
  • سسٹم کال آرکیٹیکچرز = مقامی

ماخذ: opennet.ru

نیا تبصرہ شامل کریں