ProHoster > Blog > nutizie internet > Fedora 40 pensa à attivà l'isulazione di u serviziu di u sistema

Fedora 40 pensa à attivà l'isulazione di u serviziu di u sistema

A versione di Fedora 40 suggerisce l'attivazione di paràmetri di isolamentu per i servizii di sistema di sistema chì sò attivati ​​per difettu, è ancu servizii cù applicazioni critiche per a missione cum'è PostgreSQL, Apache httpd, Nginx è MariaDB. Hè previstu chì u cambiamentu aumenterà significativamente a sicurità di a distribuzione in a cunfigurazione predeterminata è permetterà di bluccà vulnerabilità scunnisciute in i servizii di u sistema. A pruposta ùn hè ancu stata cunsiderata da u FESCo (Fedora Engineering Steering Committee), chì hè rispunsevule per a parte tecnica di u sviluppu di a distribuzione Fedora. Una pruposta pò ancu esse rifiutata durante u prucessu di rivisione di a cumunità.

Paràmetri cunsigliati per attivà:

  • PrivateTmp = sì - furnisce cartulari separati cù schedarii tempuranee.
  • ProtectSystem=yes/full/strict - muntate u sistema di fugliale in modu di sola lettura (in modu "pienu" - /etc/, in modu strettu - tutti i sistemi di fugliale eccettu /dev/, /proc/ è /sys/).
  • ProtectHome=sì-nega l'accessu à i cartulari di casa di l'utilizatori.
  • PrivateDevices = sì - lascendu accessu solu à /dev/null, /dev/zero è /dev/random
  • ProtectKernelTunables = sì - accessu di sola lettura à /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=sì - pruibisce a carica di i moduli di u kernel.
  • ProtectKernelLogs=sì - pruibisce l'accessu à u buffer cù i logs di u kernel.
  • ProtectControlGroups = sì - accessu di sola lettura à /sys/fs/cgroup/
  • NoNewPrivileges=sì - pruibisce l'elevazione di privilegi attraversu i bandieri setuid, setgid è capacità.
  • PrivateNetwork = sì - piazzamentu in un spaziu di nomi separatu di a pila di rete.
  • ProtectClock = iè - pruibisce cambià l'ora.
  • ProtectHostname = sì - pruibisce di cambià u nome di l'ospiti.
  • ProtectProc=invisible - ammuccià i prucessi di l'altri in /proc.
  • User= - cambia l'utilizatore

Inoltre, pudete cunsiderà attivà e seguenti paràmetri:

  • CapacitàBoundingSet=
  • DevicePolicy = chjusu
  • KeyringMode = privatu
  • LockPersonality = iè
  • MemoryDenyWriteExecute=sì
  • PrivateUsers = iè
  • Elimina IPC = iè
  • RestrictAddressFamilies=
  • RestrictNamespaces=sì
  • RestrictRealtime = iè
  • RestrictSUIDSGID=iè
  • SystemCallFilter =
  • SystemCallArchitectures=nativu

Source: opennet.ru

Add a comment