У выпуску Fedora 40 прапанавана ўключыць налады ізаляцыі для ўключаных па змаўчанні сістэмных сэрвісаў systemd, а таксама сэрвісаў з важнымі прыкладаннямі, такімі як PostgreSQL, Apache httpd, Nginx і MariaDB. Мяркуецца, што змена дазволіць значна павялічыць абароненасць дыстрыбутыва ў канфігурацыі па змаўчанні і дасць магчымасць блакаваць невядомыя ўразлівасці ў сістэмных сэрвісах. Прапанова пакуль не разгледжана камітэтам FESCo (Fedora Engineering Steering Committee), які адказвае за тэхнічную частку распрацоўкі дыстрыбутыва Fedora. Прапанова таксама можа быць адхілена ў працэсе рэцэнзавання супольнасцю.
Рэкамендаваныя для ўключэння наладкі:
- PrivateTmp=yes - прадастаўленне асобных дырэкторый з часавымі файламі.
- ProtectSystem=yes/full/strict - мантаванне ФС у рэжыме толькі для чытання (у рэжыме "full" - /etc/, у рэжыме strict - усіх ФС, акрамя /dev/, /proc/ і /sys/).
- ProtectHome=yes – забарона доступу да хатніх каталогаў карыстальнікаў.
- PrivateDevices=yes - пакіданне доступу толькі да /dev/null, /dev/zero і /dev/random
- ProtectKernelTunables=yes - доступ толькі ў рэжыме чытання да /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq і да т.п.
- ProtectKernelModules=yes - забарона загрузкі модуляў ядра.
- ProtectKernelLogs=yes - забарона доступу да буфера з логамі ядра.
- ProtectControlGroups=yes - доступ толькі ў рэжыме чытання да /sys/fs/cgroup/
- NoNewPrivileges=yes - забарона павышэння прывілеяў праз сцягі setuid, setgid і capabilities.
- PrivateNetwork=yes - памяшканне ў асобную прастору імёнаў сеткавага стэка.
- ProtectClock=yes - забарона змены часу.
- ProtectHostname=yes - забарона змены імя хаста.
- ProtectProc=invisible - утойванне чужых працэсаў у /proc.
- User= - змена карыстальніка
Дадаткова можа быць разгледжана ўключэнне налад:
- CapabilityBoundingSet=
- DevicePolicy=closed
- KeyringMode=private
- LockPersonality=yes
- MemoryDenyWriteExecute=yes
- PrivateUsers=yes
- RemoveIPC=yes
- RestrictAddressFamilies=
- RestrictNamespaces=yes
- RestrictRealtime=yes
- RestrictSUIDSGID=yes
- SystemCallFilter=
- SystemCallArchitectures=native
Крыніца: opennet.ru