ProHoster > Bloc > notícies d'internet > Fedora 40 té previst habilitar l'aïllament del servei del sistema

Fedora 40 té previst habilitar l'aïllament del servei del sistema

La versió de Fedora 40 suggereix habilitar la configuració d'aïllament per als serveis del sistema systemd que estan habilitats per defecte, així com serveis amb aplicacions crítiques com PostgreSQL, Apache httpd, Nginx i MariaDB. S'espera que el canvi augmenti significativament la seguretat de la distribució en la configuració per defecte i permetrà bloquejar vulnerabilitats desconegudes en els serveis del sistema. La proposta encara no ha estat considerada pel FESCo (Fedora Engineering Steering Committee), responsable de la part tècnica del desenvolupament de la distribució Fedora. Una proposta també es pot rebutjar durant el procés de revisió de la comunitat.

Configuració recomanada per activar:

  • PrivateTmp=sí: proporciona directoris separats amb fitxers temporals.
  • ProtectSystem=yes/full/strict: munteu el sistema de fitxers en mode de només lectura (en mode "complet" - /etc/, en mode estricte - tots els sistemes de fitxers excepte /dev/, /proc/ i /sys/).
  • ProtectHome=sí: denega l'accés als directoris d'inici dels usuaris.
  • PrivateDevices=yes - deixant l'accés només a /dev/null, /dev/zero i /dev/random
  • ProtectKernelTunables=yes - accés de només lectura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=yes - prohibeix carregar mòduls del nucli.
  • ProtectKernelLogs=sí - prohibeix l'accés a la memòria intermèdia amb els registres del nucli.
  • ProtectControlGroups=sí - accés de només lectura a /sys/fs/cgroup/
  • NoNewPrivileges=yes: prohibeix l'elevació de privilegis mitjançant els indicadors setuid, setgid i capacitats.
  • PrivateNetwork=yes - col·locació en un espai de noms separat de la pila de xarxa.
  • ProtectClock=sí: prohibeix canviar l'hora.
  • ProtectHostname=yes - prohibeix canviar el nom de l'amfitrió.
  • ProtectProc=invisible: amaga els processos d'altres persones a /proc.
  • Usuari= - canvia d'usuari

A més, podeu considerar habilitar la configuració següent:

  • CapabilityBoundingSet=
  • DevicePolicy=tancat
  • KeyringMode=privat
  • LockPersonality=sí
  • MemoryDenyWriteExecute=sí
  • PrivateUsers=sí
  • Elimina IPC=sí
  • RestrictAddressFamilies=
  • RestrictNamespaces=sí
  • RestrictRealtime=sí
  • RestrictSUIDSGID=sí
  • SystemCallFilter=
  • SystemCallArchitectures=natiu

Font: opennet.ru

Afegeix comentari