ProHoster > Blog > ειδήσεις στο διαδίκτυο > Το Fedora 40 σχεδιάζει να ενεργοποιήσει την απομόνωση της υπηρεσίας συστήματος

Το Fedora 40 σχεδιάζει να ενεργοποιήσει την απομόνωση της υπηρεσίας συστήματος

Η έκδοση του Fedora 40 προτείνει την ενεργοποίηση ρυθμίσεων απομόνωσης για υπηρεσίες συστήματος συστήματος που είναι ενεργοποιημένες από προεπιλογή, καθώς και υπηρεσίες με κρίσιμες εφαρμογές όπως PostgreSQL, Apache httpd, Nginx και MariaDB. Αναμένεται ότι η αλλαγή θα αυξήσει σημαντικά την ασφάλεια της διανομής στην προεπιλεγμένη διαμόρφωση και θα καταστήσει δυνατό τον αποκλεισμό άγνωστων τρωτών σημείων στις υπηρεσίες συστήματος. Η πρόταση δεν έχει ακόμη εξεταστεί από την FESCo (Fedora Engineering Steering Committee), η οποία είναι υπεύθυνη για το τεχνικό μέρος της ανάπτυξης της διανομής Fedora. Μια πρόταση μπορεί επίσης να απορριφθεί κατά τη διαδικασία κοινοτικής αναθεώρησης.

Προτεινόμενες ρυθμίσεις για ενεργοποίηση:

  • PrivateTmp=yes - παροχή χωριστών καταλόγων με προσωρινά αρχεία.
  • ProtectSystem=yes/full/strict — προσαρτά το σύστημα αρχείων σε λειτουργία μόνο για ανάγνωση (σε λειτουργία "πλήρης" - /etc/, σε αυστηρή λειτουργία - όλα τα συστήματα αρχείων εκτός από τα /dev/, /proc/ και /sys/).
  • ProtectHome=yes—αρνείται την πρόσβαση στους οικιακούς καταλόγους χρηστών.
  • PrivateDevices=yes - αφήνοντας πρόσβαση μόνο στα /dev/null, /dev/zero και /dev/random
  • ProtectKernelTunables=yes - πρόσβαση μόνο για ανάγνωση στα /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, κ.λπ.
  • ProtectKernelModules=ναι - απαγορεύεται η φόρτωση λειτουργικών μονάδων πυρήνα.
  • ProtectKernelLogs=ναι - απαγορεύει την πρόσβαση στο buffer με αρχεία καταγραφής πυρήνα.
  • ProtectControlGroups=yes - πρόσβαση μόνο για ανάγνωση στο /sys/fs/cgroup/
  • NoNewPrivileges=ναι - απαγόρευση ανύψωσης προνομίων μέσω των σημαιών setuid, setgid και capabilities.
  • PrivateNetwork=yes - τοποθέτηση σε ξεχωριστό χώρο ονομάτων της στοίβας δικτύου.
  • ProtectClock=ναι—απαγορεύεται η αλλαγή της ώρας.
  • ProtectHostname=yes - απαγορεύει την αλλαγή του ονόματος του κεντρικού υπολογιστή.
  • ProtectProc=invisible - απόκρυψη των διεργασιών άλλων ανθρώπων στο /proc.
  • Χρήστης= - αλλαγή χρήστη

Επιπλέον, μπορείτε να εξετάσετε το ενδεχόμενο να ενεργοποιήσετε τις ακόλουθες ρυθμίσεις:

  • CapabilityBoundingSet=
  • DevicePolicy=κλειστό
  • KeyringMode=ιδιωτικό
  • LockPersonality=ναι
  • MemoryDenyWriteExecute=ναι
  • PrivateUsers=ναι
  • RemoveIPC=ναι
  • RestrictAddressFamiles=
  • RestrictNamespaces=ναι
  • RestrictRealtime=ναι
  • RestrictSUIDSGID=ναι
  • SystemCallFilter=
  • SystemCallArchitectures=εγγενής

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο