ProHoster > Блог > interretaj novaĵoj > Fedora 40 planas ebligi izoladon de sistema servo

Fedora 40 planas ebligi izoladon de sistema servo

La eldono de Fedora 40 sugestas ebligi izoligajn agordojn por systemd-sistemaj servoj, kiuj estas ebligitaj defaŭlte, kaj ankaŭ servojn kun misi-kritikaj aplikoj kiel PostgreSQL, Apache httpd, Nginx kaj MariaDB. Oni atendas, ke la ŝanĝo signife pliigos la sekurecon de la distribuo en la defaŭlta agordo kaj ebligos bloki nekonatajn vundeblecojn en sistemaj servoj. La propono ankoraŭ ne estis pripensita de la FESCo (Fedora Engineering Steering Committee), kiu respondecas pri la teknika parto de la evoluo de la Fedora distribuo. Propono ankaŭ povas esti malakceptita dum la komunuma revizioprocezo.

Rekomenditaj agordoj por ebligi:

  • PrivateTmp=jes - provizante apartajn dosierujojn kun provizoraj dosieroj.
  • ProtectSystem=yes/full/strict — munti la dosiersistemon en nurlegebla reĝimo (en “plena” reĝimo - /etc/, en strikta reĝimo - ĉiuj dosiersistemoj krom /dev/, /proc/ kaj /sys/).
  • ProtectHome=jes—malpermesas aliron al uzant-hejmdosierujoj.
  • PrivateDevices=jes - lasante aliron nur al /dev/null, /dev/zero kaj /dev/random
  • ProtectKernelTunables=jes - nurlegebla aliro al /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ktp.
  • ProtectKernelModules=jes - malpermesu ŝargi kernajn modulojn.
  • ProtectKernelLogs=jes - malpermesas aliron al la bufro kun kernaj protokoloj.
  • ProtectControlGroups=jes - nurlegebla aliro al /sys/fs/cgroup/
  • NoNewPrivileges=jes - malpermesante altigon de privilegioj per la flagoj setuid, setgid kaj kapabloj.
  • PrivateNetwork=jes - lokigo en aparta nomspaco de la retstako.
  • ProtectClock=jes—malpermesu ŝanĝi la horon.
  • ProtectHostname=jes - malpermesas ŝanĝi la gastigan nomon.
  • ProtectProc=nevidebla - kaŝante aliulajn procezojn en /proc.
  • Uzanto= - ŝanĝi uzanton

Aldone, vi povas konsideri ebligi la sekvajn agordojn:

  • KapabloBoundingSet=
  • DevicePolicy=fermita
  • KeyringMode=privata
  • LockPersonality=jes
  • MemoryDenyWriteExecute=jes
  • PrivateUsers=jes
  • Forigi IPC=jes
  • RestrictAddressFamilies=
  • RestrictNamespaces=jes
  • RestrictRealtime=jes
  • RestrictSUIDSGID=jes
  • SystemCallFilter=
  • SystemCallArchitectures=denaska

fonto: opennet.ru

Aldoni komenton