ProHoster > Blog > internet nuus > Fedora 40 beplan om stelseldiens-isolasie moontlik te maak

Fedora 40 beplan om stelseldiens-isolasie moontlik te maak

Die Fedora 40-vrystelling stel voor dat isolasie-instellings geaktiveer word vir stelselstelseldienste wat by verstek geaktiveer is, sowel as dienste met missiekritieke toepassings soos PostgreSQL, Apache httpd, Nginx en MariaDB. Daar word verwag dat die verandering die sekuriteit van die verspreiding in die verstekkonfigurasie aansienlik sal verhoog en dit moontlik sal maak om onbekende kwesbaarhede in stelseldienste te blokkeer. Die voorstel is nog nie deur die FESCo (Fedora Engineering Steering Committee) oorweeg nie, wat verantwoordelik is vir die tegniese deel van die ontwikkeling van die Fedora-verspreiding. 'n Voorstel kan ook tydens die gemeenskapshersieningsproses verwerp word.

Aanbevole instellings om te aktiveer:

  • PrivateTmp=ja - voorsien aparte gidse met tydelike lêers.
  • ProtectSystem=yes/full/strict — monteer die lêerstelsel in leesalleen-modus (in "volle" modus - /etc/, in streng modus - alle lêerstelsels behalwe /dev/, /proc/ en /sys/).
  • ProtectHome=ja—weier toegang tot gebruiker tuisgidse.
  • PrivateDevices=ja - laat slegs toegang tot /dev/null, /dev/zero en /dev/random
  • ProtectKernelTunables=ja - leesalleentoegang tot /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ens.
  • ProtectKernelModules=ja - verbied die laai van kernmodules.
  • ProtectKernelLogs=ja - verbied toegang tot die buffer met kernlogs.
  • ProtectControlGroups=ja - leesalleen toegang tot /sys/fs/cgroup/
  • NoNewPrivileges=ja - verbied verhoging van voorregte deur die setuid-, setgid- en vermoëvlae.
  • PrivateNetwork=ja - plasing in 'n aparte naamruimte van die netwerkstapel.
  • ProtectClock=ja—verbied om die tyd te verander.
  • ProtectHostname=ja - verbied die verandering van die gasheernaam.
  • ProtectProc=onsigbaar - versteek ander mense se prosesse in /proc.
  • Gebruiker= - verander gebruiker

Daarbenewens kan u dit oorweeg om die volgende instellings te aktiveer:

  • CapabilityBoundingSet=
  • DevicePolicy=gesluit
  • KeyringMode=privaat
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • Privaatgebruikers=ja
  • Verwyder IPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=ja
  • RestrictRealtime=ja
  • RestrictSUIDSGID=ja
  • SystemCallFilter=
  • SystemCallArchitectures=inheems

Bron: opennet.ru

Voeg 'n opmerking