Fedora 40 планира да активира изолация на системни услуги

Изданието Fedora 40 предлага активиране на настройки за изолация за системни услуги на systemd, които са активирани по подразбиране, както и услуги с критични за мисията приложения като PostgreSQL, Apache httpd, Nginx и MariaDB. Очаква се промяната значително да повиши сигурността на дистрибуцията в конфигурацията по подразбиране и да направи възможно блокирането на неизвестни уязвимости в системните услуги. Предложението все още не е разгледано от FESCo (Fedora Engineering Steering Committee), който отговаря за техническата част от разработката на дистрибуцията Fedora. Предложение може също да бъде отхвърлено по време на процеса на преглед от общността.

Препоръчителни настройки за активиране:

• PrivateTmp=yes - предоставяне на отделни директории с временни файлове.
• ProtectSystem=yes/full/strict — монтиране на файловата система в режим само за четене (в режим “пълен” - /etc/, в строг режим - всички файлови системи с изключение на /dev/, /proc/ и /sys/).
• ProtectHome=yes—отказва достъп до началните директории на потребителите.
• PrivateDevices=yes - оставя достъп само до /dev/null, /dev/zero и /dev/random
• ProtectKernelTunables=yes - достъп само за четене до /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq и др.
• ProtectKernelModules=да - забранява зареждането на модули на ядрото.
• ProtectKernelLogs=yes - забранява достъпа до буфера с регистрационни файлове на ядрото.
• ProtectControlGroups=да - достъп само за четене до /sys/fs/cgroup/
• NoNewPrivileges=yes - забрана за повишаване на привилегиите чрез флаговете setuid, setgid и capabilities.
• PrivateNetwork=yes - поставяне в отделно пространство от имена на мрежовия стек.
• ProtectClock=yes—забранява промяната на часа.
• ProtectHostname=yes - забранява промяната на името на хоста.
• ProtectProc=invisible - скриване на процесите на други хора в /proc.
• User= - промяна на потребителя

Освен това можете да помислите за активиране на следните настройки:

• CapabilityBoundingSet=
• DevicePolicy=затворено
• KeyringMode=частен
• LockPersonality=да
• MemoryDenyWriteExecute=да
• PrivateUsers=да
• RemoveIPC=да
• RestrictAddressFamilies=
• RestrictNamespaces=да
• RestrictRealtime=да
• RestrictSUIDSGID=да
• SystemCallFilter=
• SystemCallArchitectures=роден

Източник: opennet.ru