Gisugyot sa Fedora 40 ang pagpagana sa mga setting sa isolation para sa default systemd services, ingon man sa mga serbisyo nga nagpadagan sa mga kritikal nga aplikasyon sama sa PostgreSQL, Apache httpd, Nginx, ug MariaDB. Kini nga pagbag-o gilauman nga makapauswag pag-ayo sa seguridad sa distribution sa default configuration niini ug makapahimo sa pag-block sa wala mailhi nga mga kahuyangan sa mga serbisyo sa sistema. Ang proposal wala pa masusi sa FESCo (Fedora Engineering Steering Committee), ang technical development committee para sa distribution sa Fedora. Ang proposal mahimo usab nga isalikway atol sa proseso sa pagrepaso sa komunidad.
Mga girekomendar nga setting para ma-enable:
- PrivateTmp=oo β paghatag og gilain nga mga direktoryo nga adunay temporaryo nga mga file.
- ProtectSystem=yes/full/strict β i-mount ang mga file system sa read-only mode (sa βfullβ mode β /etc/, sa strict mode β tanang file system gawas sa /dev/, /proc/ ug /sys/).
- ProtectHome=oo β nagdili sa pag-access sa mga home directory sa mga tiggamit.
- PrivateDevices=oo β magbilin lang og access sa /dev/null, /dev/zero, ug /dev/random
- ProtectKernelTunables=oo β read-only nga pag-access sa /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ug uban pa.
- ProtectKernelModules=oo β i-disable ang pagkarga sa mga kernel module.
- ProtectKernelLogs=oo β dili mo-access sa kernel log buffer.
- ProtectControlGroups=oo β read-only nga access sa /sys/fs/cgroup/
- NoNewPrivileges=yes β dili mo-disable sa privilege escalation pinaagi sa setuid, setgid, ug capabilities flags.
- PrivateNetwork=oo β pagbutang sa usa ka lahi nga network stack namespace.
- ProtectClock=yes β nagdili sa pag-usab sa oras.
- ProtectHostname=yes β nagdili sa pag-ilis sa ngalan sa host.
- ProtectProc=invisible β nagtago sa ubang mga proseso sa /proc.
- Tiggamit= β usba ang tiggamit
Dugang pa, ang mosunod nga mga setting mahimong ikonsiderar:
- CapabilityBoundingSet=
- DevicePolicy=sirado
- KeyringMode=pribado
- LockPersonality=oo
- MemoryDenyWriteExecute=oo
- Mga Pribadong Gumagamit=oo
- Kuhaa angIPC=oo
- Mga Pamilya nga Nagdili sa Address=
- RestrictNamespaces=oo
- Limitado sa Tinuod nga Oras=oo
- RestrictSUIDSGID=oo
- SystemCallFilter=
- SystemCallArchitectures=lumad
Source: opennet.ru
