ProHoster > Blog > internetové zprávy > Fedora 40 plánuje povolit izolaci systémových služeb

Fedora 40 plánuje povolit izolaci systémových služeb

Vydání Fedory 40 navrhuje povolit nastavení izolace pro systémové služby, které jsou ve výchozím nastavení povoleny, a také služby s kritickými aplikacemi, jako je PostgreSQL, Apache httpd, Nginx a MariaDB. Očekává se, že změna výrazně zvýší bezpečnost distribuce ve výchozí konfiguraci a umožní blokovat neznámé zranitelnosti v systémových službách. Návrhem se zatím nezabýval FESCo (Fedora Engineering Steering Committee), který je zodpovědný za technickou část vývoje distribuce Fedora. Návrh může být také zamítnut během procesu kontroly komunity.

Doporučená nastavení pro povolení:

  • PrivateTmp=yes - poskytování samostatných adresářů s dočasnými soubory.
  • ProtectSystem=yes/full/strict — připojte souborový systém v režimu pouze pro čtení (v „plném“ režimu - /etc/, v přísném režimu - všechny systémy souborů kromě /dev/, /proc/ a /sys/).
  • ProtectHome=yes—zakáže přístup k domovským adresářům uživatelů.
  • PrivateDevices=yes - ponechání přístupu pouze k /dev/null, /dev/zero a /dev/random
  • ProtectKernelTunables=yes – přístup pouze pro čtení k /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq atd.
  • ProtectKernelModules=yes - zakáže načítání modulů jádra.
  • ProtectKernelLogs=yes - zakáže přístup k vyrovnávací paměti s protokoly jádra.
  • ProtectControlGroups=yes – přístup pouze pro čtení do /sys/fs/cgroup/
  • NoNewPrivileges=yes - zákaz zvyšování oprávnění prostřednictvím příznaků setuid, setgid a schopností.
  • PrivateNetwork=yes - umístění v samostatném jmenném prostoru síťového zásobníku.
  • ProtectClock=yes—zakázat změnu času.
  • ProtectHostname=yes - zakáže změnu názvu hostitele.
  • ProtectProc=invisible - skrytí procesů jiných lidí v /proc.
  • User= - změna uživatele

Kromě toho můžete zvážit povolení následujících nastavení:

  • CapabilityBoundingSet=
  • DevicePolicy=zavřeno
  • KeyringMode=soukromý
  • LockPersonality=ano
  • MemoryDenyWriteExecute=ano
  • PrivateUsers=ano
  • Odebrat IPC=ano
  • RestrictAddressFamilies=
  • RestrictNamespaces=ano
  • RestrictRealtime=ano
  • RestrictSUIDSGID=ano
  • SystemCallFilter=
  • SystemCallArchitectures=nativní

Zdroj: opennet.ru

Přidat komentář