ProHoster > Blog > internet yangiliklari > Fedora 40 tizim xizmatining izolyatsiyasini yoqishni rejalashtirmoqda

Fedora 40 tizim xizmatining izolyatsiyasini yoqishni rejalashtirmoqda

Fedora 40 standart tizimli xizmatlar, shuningdek, PostgreSQL, Apache httpd, Nginx va MariaDB kabi muhim ilovalarni ishga tushiruvchi xizmatlar uchun izolyatsiya sozlamalarini yoqish taklifini taqdim etadi. Ushbu o'zgarish distributivning standart konfiguratsiyasida xavfsizligini sezilarli darajada yaxshilashi va tizim xizmatlaridagi noma'lum zaifliklarni blokirovka qilish imkonini berishi kutilmoqda. Taklif hali Fedora distributivining texnik rivojlanish qo'mitasi bo'lgan FESCo (Fedora muhandislik boshqaruv qo'mitasi) tomonidan ko'rib chiqilmagan. Taklif jamoatchilik tomonidan ko'rib chiqish jarayonida ham rad etilishi mumkin.

Yoqish uchun tavsiya etilgan sozlamalar:

  • PrivateTmp=yes — vaqtinchalik fayllar bilan alohida kataloglarni taqdim etish.
  • ProtectSystem=yes/full/strict — fayl tizimlarini faqat o'qish rejimida o'rnatish ("to'liq" rejimda — /etc/, qat'iy rejimda — /dev/, /proc/ va /sys/ dan tashqari barcha fayl tizimlari).
  • ProtectHome=yes — foydalanuvchilarning uy kataloglariga kirishni taqiqlaydi.
  • PrivateDevices=ha — faqat /dev/null, /dev/zero va /dev/random ga kirish huquqini qoldiradi
  • ProtectKernelTunables=yes — /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq va boshqalarga faqat o'qish uchun kirish.
  • ProtectKernelModules=yes — yadro modullarini yuklashni o'chirib qo'yish.
  • ProtectKernelLogs=yes — yadro jurnali buferiga kirishni o'chiradi.
  • ProtectControlGroups=ha — /sys/fs/cgroup/ ga faqat o'qish uchun kirish.
  • NoNewPrivileges=yes — setuid, setgid va imkoniyatlar bayroqlari orqali imtiyozlarni oshirishni o'chirib qo'yadi.
  • PrivateNetwork=yes — alohida tarmoq steki nom maydoniga joylashtirish.
  • ProtectClock=yes — vaqtni o'zgartirishni taqiqlaydi.
  • ProtectHostname=yes — xost nomini o'zgartirishni taqiqlaydi.
  • ProtectProc=invisible — /procdagi boshqa jarayonlarni yashiradi.
  • Foydalanuvchi= — foydalanuvchini o'zgartirish

Bundan tashqari, quyidagi sozlamalarni ko'rib chiqish mumkin:

  • QobiliyatBoundingSet=
  • DevicePolicy=yopiq
  • KeyringMode=xususiy
  • Qulflash Shaxsiyati=ha
  • MemoryDenyWriteExecute=ha
  • Xususiy Foydalanuvchilar=ha
  • RemoveIPC=ha
  • RestrictAddressFamilies=
  • RestrictNamespaces=ha
  • CheklashRealtime=ha
  • RestrictSUIDSGID=ha
  • Tizim chaqiruvi filtri=
  • SystemCallArchitectures=mahalliy

Manba: opennet.ru

DDoS himoyasi, VPS VDS serverlari bo'lgan saytlar uchun ishonchli hosting sotib oling 🔥 DDoS himoyasi, VPS VDS serverlari bilan ishonchli veb-sayt xostingini sotib oling | ProHoster