ProHoster > Blog > Internetnachrichten > Fedora 40 plant, die Isolierung von Systemdiensten zu ermöglichen

Fedora 40 plant, die Isolierung von Systemdiensten zu ermöglichen

Die Version Fedora 40 schlägt vor, Isolationseinstellungen für standardmäßig aktivierte systemd-Systemdienste sowie für Dienste mit kritischen Anwendungen wie PostgreSQL, Apache httpd, Nginx und MariaDB zu aktivieren. Es wird erwartet, dass die Änderung die Sicherheit der Distribution in der Standardkonfiguration deutlich erhöht und es ermöglicht, unbekannte Schwachstellen in Systemdiensten zu blockieren. Der Vorschlag wurde noch nicht vom FESCo (Fedora Engineering Steering Committee) geprüft, das für den technischen Teil der Entwicklung der Fedora-Distribution verantwortlich ist. Ein Vorschlag kann auch während des Community-Review-Prozesses abgelehnt werden.

Empfohlene Einstellungen zum Aktivieren:

  • PrivateTmp=yes – Bereitstellung separater Verzeichnisse mit temporären Dateien.
  • ProtectSystem=yes/full/strict – Mounten Sie das Dateisystem im schreibgeschützten Modus (im „vollständigen“ Modus – /etc/, im strikten Modus – alle Dateisysteme außer /dev/, /proc/ und /sys/).
  • ProtectHome=yes – verweigert den Zugriff auf Benutzer-Home-Verzeichnisse.
  • PrivateDevices=yes – der Zugriff bleibt nur auf /dev/null, /dev/zero und /dev/random
  • ProtectKernelTunables=yes – schreibgeschützter Zugriff auf /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq usw.
  • ProtectKernelModules=yes – Laden von Kernelmodulen verbieten.
  • ProtectKernelLogs=yes – verhindert den Zugriff auf den Puffer mit Kernel-Protokollen.
  • ProtectControlGroups=yes – schreibgeschützter Zugriff auf /sys/fs/cgroup/
  • NoNewPrivileges=yes – verbietet die Erhöhung von Berechtigungen durch die Flags setuid, setgid und Capabilities.
  • PrivateNetwork=yes – Platzierung in einem separaten Namespace des Netzwerkstapels.
  • ProtectClock=yes – Änderung der Uhrzeit verbieten.
  • ProtectHostname=yes – verhindert das Ändern des Hostnamens.
  • ProtectProc=unsichtbar – Prozesse anderer Leute in /proc verbergen.
  • Benutzer= – Benutzer ändern

Darüber hinaus können Sie erwägen, die folgenden Einstellungen zu aktivieren:

  • CapabilityBoundingSet=
  • DevicePolicy=geschlossen
  • KeyringMode=privat
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • PrivateUsers=ja
  • RemoveIPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=yes
  • SystemCallFilter=
  • SystemCallArchitectures=native

Source: opennet.ru

Kommentar hinzufügen