ProHoster > блог > Навіны інтэрнэту > У Fedora 40 плануюць уключыць ізаляцыю сістэмных сэрвісаў

У Fedora 40 плануюць уключыць ізаляцыю сістэмных сэрвісаў

У выпуску Fedora 40 прапанавана ўключыць налады ізаляцыі для ўключаных па змаўчанні сістэмных сэрвісаў systemd, а таксама сэрвісаў з важнымі прыкладаннямі, такімі як PostgreSQL, Apache httpd, Nginx і MariaDB. Мяркуецца, што змена дазволіць значна павялічыць абароненасць дыстрыбутыва ў канфігурацыі па змаўчанні і дасць магчымасць блакаваць невядомыя ўразлівасці ў сістэмных сэрвісах. Прапанова пакуль не разгледжана камітэтам FESCo (Fedora Engineering Steering Committee), які адказвае за тэхнічную частку распрацоўкі дыстрыбутыва Fedora. Прапанова таксама можа быць адхілена ў працэсе рэцэнзавання супольнасцю.

Рэкамендаваныя для ўключэння наладкі:

  • PrivateTmp=yes - прадастаўленне асобных дырэкторый з часавымі файламі.
  • ProtectSystem=yes/full/strict - мантаванне ФС у рэжыме толькі для чытання (у рэжыме "full" - /etc/, у рэжыме strict - усіх ФС, акрамя /dev/, /proc/ і /sys/).
  • ProtectHome=yes – забарона доступу да хатніх каталогаў карыстальнікаў.
  • PrivateDevices=yes - пакіданне доступу толькі да /dev/null, /dev/zero і /dev/random
  • ProtectKernelTunables=yes - доступ толькі ў рэжыме чытання да /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq і да т.п.
  • ProtectKernelModules=yes - забарона загрузкі модуляў ядра.
  • ProtectKernelLogs=yes - забарона доступу да буфера з логамі ядра.
  • ProtectControlGroups=yes - доступ толькі ў рэжыме чытання да /sys/fs/cgroup/
  • NoNewPrivileges=yes - забарона павышэння прывілеяў праз сцягі setuid, setgid і capabilities.
  • PrivateNetwork=yes - памяшканне ў асобную прастору імёнаў сеткавага стэка.
  • ProtectClock=yes - забарона змены часу.
  • ProtectHostname=yes - забарона змены імя хаста.
  • ProtectProc=invisible - утойванне чужых працэсаў у /proc.
  • User= - змена карыстальніка

Дадаткова можа быць разгледжана ўключэнне налад:

  • CapabilityBoundingSet=
  • DevicePolicy=closed
  • KeyringMode=private
  • LockPersonality=yes
  • MemoryDenyWriteExecute=yes
  • PrivateUsers=yes
  • RemoveIPC=yes
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=yes
  • SystemCallFilter=
  • SystemCallArchitectures=native

Крыніца: opennet.ru

Дадаць каментар