ProHoster > Blog > internet yangiliklari > Fedora 40 tizim xizmatining izolyatsiyasini yoqishni rejalashtirmoqda

Fedora 40 tizim xizmatining izolyatsiyasini yoqishni rejalashtirmoqda

Fedora 40 versiyasi sukut bo'yicha yoqilgan tizimli tizim xizmatlari, shuningdek, PostgreSQL, Apache httpd, Nginx va MariaDB kabi muhim ilovalar bilan xizmatlar uchun izolyatsiya sozlamalarini yoqishni taklif qiladi. O‘zgartirish standart konfiguratsiyadagi tarqatish xavfsizligini sezilarli darajada oshirishi va tizim xizmatlaridagi noma’lum zaifliklarni bloklash imkonini berishi kutilmoqda. Taklif hali FESCo (Fedora muhandislik boshqaruvi qo'mitasi) tomonidan ko'rib chiqilmagan, u Fedora tarqatilishini ishlab chiqishning texnik qismi uchun mas'uldir. Taklif hamjamiyat tomonidan ko'rib chiqish jarayonida rad etilishi mumkin.

Yoqish uchun tavsiya etilgan sozlamalar:

  • PrivateTmp=ha - vaqtinchalik fayllar bilan alohida kataloglarni taqdim etish.
  • ProtectSystem=yes/full/strict - fayl tizimini faqat o'qish rejimida o'rnatish ("to'liq" rejimda - /etc/, qattiq rejimda - /dev/, /proc/ va /sys/dan tashqari barcha fayl tizimlari).
  • ProtectHome=yes—foydalanuvchi uy kataloglariga kirishni rad etadi.
  • PrivateDevices=ha - faqat /dev/null, /dev/zero va /dev/random-ga kirish huquqini qoldiring
  • ProtectKernelTunables=ha - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq va boshqalarga faqat o'qish uchun ruxsat.
  • ProtectKernelModules=ha - yadro modullarini yuklashni taqiqlash.
  • ProtectKernelLogs=yes - yadro jurnallari bilan buferga kirishni taqiqlaydi.
  • ProtectControlGroups=ha - /sys/fs/cgroup/-ga faqat o'qish uchun ruxsat
  • NoNewPrivileges=ha - setuid, setgid va imkoniyatlar bayroqlari orqali imtiyozlarni oshirishni taqiqlash.
  • PrivateNetwork=ha - tarmoq stekining alohida nom maydoniga joylashtirish.
  • ProtectClock=ha - vaqtni o'zgartirishni taqiqlash.
  • ProtectHostname=yes - xost nomini o'zgartirishni taqiqlaydi.
  • ProtectProc=invisible - boshqa odamlarning jarayonlarini /proc da yashirish.
  • User= - foydalanuvchini o'zgartirish

Bundan tashqari, siz quyidagi sozlamalarni yoqishingiz mumkin:

  • CapabilityBoundingSet=
  • DevicePolicy=yopiq
  • KeyringMode=xususiy
  • LockPersonality=ha
  • MemoryDenyWriteExecute=ha
  • PrivateUsers=ha
  • IPCni olib tashlang=ha
  • RestrictAddressFamilies=
  • RestrictNamespaces=ha
  • RestrictRealtime=ha
  • RestrictSUIDSGID=ha
  • SystemCallFilter=
  • SystemCallArchitectures=mahalliy

Manba: opennet.ru

a Izoh qo'shish