ProHoster > Blog > internet nyheder > Fedora 40 planlægger at aktivere systemtjenesteisolering

Fedora 40 planlægger at aktivere systemtjenesteisolering

Fedora 40-udgivelsen foreslår at aktivere isolationsindstillinger for systemtjenester, der er aktiveret som standard, såvel som tjenester med missionskritiske applikationer såsom PostgreSQL, Apache httpd, Nginx og MariaDB. Det forventes, at ændringen vil øge sikkerheden for distributionen væsentligt i standardkonfigurationen og vil gøre det muligt at blokere ukendte sårbarheder i systemtjenester. Forslaget er endnu ikke blevet behandlet af FESCo (Fedora Engineering Steering Committee), som er ansvarlig for den tekniske del af udviklingen af ​​Fedora-distributionen. Et forslag kan også blive afvist under fællesskabsgennemgangen.

Anbefalede indstillinger for at aktivere:

  • PrivateTmp=ja - giver separate mapper med midlertidige filer.
  • ProtectSystem=yes/full/strict — monter filsystemet i skrivebeskyttet tilstand (i "fuld" tilstand - /etc/, i streng tilstand - alle filsystemer undtagen /dev/, /proc/ og /sys/).
  • ProtectHome=ja – nægter adgang til brugerens hjemmemapper.
  • PrivateDevices=ja - giver kun adgang til /dev/null, /dev/zero og /dev/random
  • ProtectKernelTunables=ja - skrivebeskyttet adgang til /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq osv.
  • ProtectKernelModules=ja - forbyd indlæsning af kernemoduler.
  • ProtectKernelLogs=ja - forbyder adgang til bufferen med kernelogfiler.
  • ProtectControlGroups=ja - skrivebeskyttet adgang til /sys/fs/cgroup/
  • NoNewPrivileges=ja - forbyder forhøjelse af privilegier gennem setuid-, setgid- og kapacitetsflag.
  • PrivateNetwork=ja - placering i et separat navneområde i netværksstakken.
  • ProtectClock=ja – forbyd ændring af tiden.
  • ProtectHostname=ja - forbyder ændring af værtsnavnet.
  • ProtectProc=usynlig - skjuler andres processer i /proc.
  • Bruger= - skift bruger

Derudover kan du overveje at aktivere følgende indstillinger:

  • CapabilityBoundingSet=
  • DevicePolicy=lukket
  • KeyringMode=privat
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • PrivateUsers=ja
  • Fjern IPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=ja
  • RestrictRealtime=ja
  • RestrictSUIDSGID=ja
  • SystemCallFilter=
  • SystemCallArchitectures=native

Kilde: opennet.ru

Tilføj en kommentar