ProHoster > Блог > internet vijesti > Fedora 40 planira da omogući izolaciju sistemskih usluga

Fedora 40 planira da omogući izolaciju sistemskih usluga

Fedora 40 izdanje predlaže omogućavanje postavki izolacije za sistemske sistemske usluge koje su podrazumevano omogućene, kao i usluge sa kritičnim aplikacijama kao što su PostgreSQL, Apache httpd, Nginx i MariaDB. Očekuje se da će promjena značajno povećati sigurnost distribucije u zadanoj konfiguraciji i omogućiti blokiranje nepoznatih ranjivosti u sistemskim uslugama. Prijedlog još nije razmotren od strane FESCo-a (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije. Prijedlog također može biti odbijen tokom procesa revizije zajednice.

Preporučene postavke za omogućavanje:

  • PrivateTmp=yes - pružanje zasebnih direktorija s privremenim datotekama.
  • ProtectSystem=yes/full/strict — montira sistem datoteka u režimu samo za čitanje (u "punom" režimu - /etc/, u strogom režimu - svi sistemi datoteka osim /dev/, /proc/ i /sys/).
  • ProtectHome=yes—zabranjuje pristup korisničkim kućnim direktorijumima.
  • PrivateDevices=yes - ostavlja pristup samo /dev/null, /dev/zero i /dev/random
  • ProtectKernelTunables=yes - pristup samo za čitanje /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, itd.
  • ProtectKernelModules=yes - zabrani učitavanje modula kernela.
  • ProtectKernelLogs=yes - zabranjuje pristup baferu sa evidencijama kernela.
  • ProtectControlGroups=yes - pristup samo za čitanje /sys/fs/cgroup/
  • NoNewPrivileges=yes - zabrana podizanja privilegija kroz zastavice setuid, setgid i capabilities.
  • PrivateNetwork=yes - postavljanje u poseban prostor imena mrežnog steka.
  • ProtectClock=yes—zabrana promjene vremena.
  • ProtectHostname=yes - zabranjuje promjenu imena hosta.
  • ProtectProc=nevidljivo - skrivanje procesa drugih ljudi u /proc.
  • Korisnik= - promijeni korisnika

Osim toga, možete razmotriti omogućavanje sljedećih postavki:

  • CapabilityBoundingSet=
  • DevicePolicy=zatvoreno
  • KeyringMode=privatno
  • LockPersonality=da
  • MemoryDenyWriteExecute=yes
  • PrivateUsers=da
  • RemoveIPC=da
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=da
  • SystemCallFilter=
  • SystemCallArchitectures=native

izvor: opennet.ru

Dodajte komentar