Fedora 40 izdanje predlaže omogućavanje postavki izolacije za sistemske sistemske usluge koje su podrazumevano omogućene, kao i usluge sa kritičnim aplikacijama kao što su PostgreSQL, Apache httpd, Nginx i MariaDB. Očekuje se da će promjena značajno povećati sigurnost distribucije u zadanoj konfiguraciji i omogućiti blokiranje nepoznatih ranjivosti u sistemskim uslugama. Prijedlog još nije razmotren od strane FESCo-a (Fedora Engineering Steering Committee), koji je odgovoran za tehnički dio razvoja Fedora distribucije. Prijedlog također može biti odbijen tokom procesa revizije zajednice.
Preporučene postavke za omogućavanje:
- PrivateTmp=yes - pružanje zasebnih direktorija s privremenim datotekama.
- ProtectSystem=yes/full/strict — montira sistem datoteka u režimu samo za čitanje (u "punom" režimu - /etc/, u strogom režimu - svi sistemi datoteka osim /dev/, /proc/ i /sys/).
- ProtectHome=yes—zabranjuje pristup korisničkim kućnim direktorijumima.
- PrivateDevices=yes - ostavlja pristup samo /dev/null, /dev/zero i /dev/random
- ProtectKernelTunables=yes - pristup samo za čitanje /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, itd.
- ProtectKernelModules=yes - zabrani učitavanje modula kernela.
- ProtectKernelLogs=yes - zabranjuje pristup baferu sa evidencijama kernela.
- ProtectControlGroups=yes - pristup samo za čitanje /sys/fs/cgroup/
- NoNewPrivileges=yes - zabrana podizanja privilegija kroz zastavice setuid, setgid i capabilities.
- PrivateNetwork=yes - postavljanje u poseban prostor imena mrežnog steka.
- ProtectClock=yes—zabrana promjene vremena.
- ProtectHostname=yes - zabranjuje promjenu imena hosta.
- ProtectProc=nevidljivo - skrivanje procesa drugih ljudi u /proc.
- Korisnik= - promijeni korisnika
Osim toga, možete razmotriti omogućavanje sljedećih postavki:
- CapabilityBoundingSet=
- DevicePolicy=zatvoreno
- KeyringMode=privatno
- LockPersonality=da
- MemoryDenyWriteExecute=yes
- PrivateUsers=da
- RemoveIPC=da
- RestrictAddressFamilies=
- RestrictNamespaces=yes
- RestrictRealtime=yes
- RestrictSUIDSGID=da
- SystemCallFilter=
- SystemCallArchitectures=native
izvor: opennet.ru