يقترح إصدار Fedora 40 تمكين إعدادات العزل لخدمات نظام systemd التي يتم تمكينها افتراضيًا، بالإضافة إلى الخدمات ذات التطبيقات ذات المهام الحرجة مثل PostgreSQL وApache httpd وNginx وMariaDB. من المتوقع أن يؤدي التغيير إلى زيادة أمان التوزيع بشكل كبير في التكوين الافتراضي وسيسمح بحظر الثغرات الأمنية غير المعروفة في خدمات النظام. لم يتم النظر في الاقتراح بعد من قبل FESCo (اللجنة التوجيهية الهندسية لفيدورا)، المسؤولة عن الجزء الفني من تطوير توزيع فيدورا. قد يتم أيضًا رفض الاقتراح أثناء عملية مراجعة المجتمع.
الإعدادات الموصى بها للتمكين:
- PrivateTmp=yes - توفير أدلة منفصلة تحتوي على ملفات مؤقتة.
- ProtectSystem=yes/full/strict — قم بتثبيت نظام الملفات في وضع القراءة فقط (في الوضع "الكامل" - /etc/، في الوضع الصارم - جميع أنظمة الملفات باستثناء /dev/، /proc/ و /sys/).
- ProtectHome=yes — يرفض الوصول إلى الأدلة الرئيسية للمستخدم.
- PrivateDevices=yes - ترك الوصول فقط إلى /dev/null و/dev/zero و/dev/random
- ProtectKernelTunables=yes - الوصول للقراءة فقط إلى /proc/sys/، /sys/، /proc/acpi، /proc/fs، /proc/irq، إلخ.
- ProtectKernelModules=yes - يمنع تحميل وحدات kernel.
- ProtectKernelLogs=yes - يمنع الوصول إلى المخزن المؤقت الذي يحتوي على سجلات kernel.
- ProtectControlGroups=yes - حق الوصول للقراءة فقط إلى /sys/fs/cgroup/
- NoNewPrivileges=yes - حظر رفع الامتيازات من خلال إشارات setuid وsetgid والقدرات.
- PrivateNetwork=yes - الموضع في مساحة اسم منفصلة لمكدس الشبكة.
- ProtectClock=yes—منع تغيير الوقت.
- ProtectHostname=yes - يمنع تغيير اسم المضيف.
- ProtectProc=invisible - إخفاء عمليات الأشخاص الآخرين في /proc.
- المستخدم = - تغيير المستخدم
بالإضافة إلى ذلك، قد تفكر في تمكين الإعدادات التالية:
- CapabilityBoundingSet=
- سياسة الجهاز=مغلقة
- KeyringMode=private
- قفل الشخصية = نعم
- MemoryDenyWriteExecute=نعم
- المستخدمون الخاصون=نعم
- إزالةIPC=نعم
- RestrictAddressFamilies=
- تقييد مساحات الأسماء = نعم
- RestrictRealtime=yes.RestrictRealtime=yes
- تقييدSUIDSGID=نعم
- SystemCallFilter=
- SystemCallArchitectures=native
المصدر: opennet.ru