A versione di Fedora 40 suggerisce l'attivazione di paràmetri di isolamentu per i servizii di sistema di sistema chì sò attivati per difettu, è ancu servizii cù applicazioni critiche per a missione cum'è PostgreSQL, Apache httpd, Nginx è MariaDB. Hè previstu chì u cambiamentu aumenterà significativamente a sicurità di a distribuzione in a cunfigurazione predeterminata è permetterà di bluccà vulnerabilità scunnisciute in i servizii di u sistema. A pruposta ùn hè ancu stata cunsiderata da u FESCo (Fedora Engineering Steering Committee), chì hè rispunsevule per a parte tecnica di u sviluppu di a distribuzione Fedora. Una pruposta pò ancu esse rifiutata durante u prucessu di rivisione di a cumunità.
Paràmetri cunsigliati per attivà:
- PrivateTmp = sì - furnisce cartulari separati cù schedarii tempuranee.
- ProtectSystem=yes/full/strict - muntate u sistema di fugliale in modu di sola lettura (in modu "pienu" - /etc/, in modu strettu - tutti i sistemi di fugliale eccettu /dev/, /proc/ è /sys/).
- ProtectHome=sì-nega l'accessu à i cartulari di casa di l'utilizatori.
- PrivateDevices = sì - lascendu accessu solu à /dev/null, /dev/zero è /dev/random
- ProtectKernelTunables = sì - accessu di sola lettura à /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
- ProtectKernelModules=sì - pruibisce a carica di i moduli di u kernel.
- ProtectKernelLogs=sì - pruibisce l'accessu à u buffer cù i logs di u kernel.
- ProtectControlGroups = sì - accessu di sola lettura à /sys/fs/cgroup/
- NoNewPrivileges=sì - pruibisce l'elevazione di privilegi attraversu i bandieri setuid, setgid è capacità.
- PrivateNetwork = sì - piazzamentu in un spaziu di nomi separatu di a pila di rete.
- ProtectClock = iè - pruibisce cambià l'ora.
- ProtectHostname = sì - pruibisce di cambià u nome di l'ospiti.
- ProtectProc=invisible - ammuccià i prucessi di l'altri in /proc.
- User= - cambia l'utilizatore
Inoltre, pudete cunsiderà attivà e seguenti paràmetri:
- CapacitàBoundingSet=
- DevicePolicy = chjusu
- KeyringMode = privatu
- LockPersonality = iè
- MemoryDenyWriteExecute=sì
- PrivateUsers = iè
- Elimina IPC = iè
- RestrictAddressFamilies=
- RestrictNamespaces=sì
- RestrictRealtime = iè
- RestrictSUIDSGID=iè
- SystemCallFilter =
- SystemCallArchitectures=nativu
Source: opennet.ru