ProHoster > Blog > noticias de internet > Fedora 40 planea habilitar el aislamiento de servicios del sistema

Fedora 40 planea habilitar el aislamiento de servicios del sistema

La versión Fedora 40 sugiere habilitar configuraciones de aislamiento para los servicios del sistema systemd que están habilitados de forma predeterminada, así como servicios con aplicaciones de misión crítica como PostgreSQL, Apache httpd, Nginx y MariaDB. Se espera que el cambio aumente significativamente la seguridad de la distribución en la configuración predeterminada y permitirá bloquear vulnerabilidades desconocidas en los servicios del sistema. La propuesta aún no ha sido considerada por el FESCo (Fedora Engineering Steering Committee), que es responsable de la parte técnica del desarrollo de la distribución Fedora. Una propuesta también puede ser rechazada durante el proceso de revisión comunitaria.

Configuraciones recomendadas para habilitar:

  • PrivateTmp=yes: proporciona directorios separados con archivos temporales.
  • ProtectSystem=yes/full/strict: monta el sistema de archivos en modo de solo lectura (en modo “completo” - /etc/, en modo estricto - todos los sistemas de archivos excepto /dev/, /proc/ y /sys/).
  • ProtectHome=yes: niega el acceso a los directorios personales de los usuarios.
  • PrivateDevices=yes - dejando acceso sólo a /dev/null, /dev/zero y /dev/random
  • ProtectKernelTunables=yes: acceso de solo lectura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=yes: prohíbe cargar módulos del kernel.
  • ProtectKernelLogs=yes: prohíbe el acceso al búfer con registros del kernel.
  • ProtectControlGroups=yes - acceso de solo lectura a /sys/fs/cgroup/
  • NoNewPrivileges=yes: prohíbe la elevación de privilegios a través de los indicadores setuid, setgid y capacidades.
  • PrivateNetwork=yes: ubicación en un espacio de nombres separado de la pila de red.
  • ProtectClock=yes: prohíbe cambiar la hora.
  • ProtectHostname=yes: prohíbe cambiar el nombre del host.
  • ProtectProc=invisible: oculta los procesos de otras personas en /proc.
  • Usuario= - cambiar usuario

Además, puede considerar habilitar las siguientes configuraciones:

  • CapacidadBoundingSet=
  • Política de dispositivo = cerrado
  • Modo llavero=privado
  • BloquearPersonalidad=sí
  • MemoryDenyWriteExecute=sí
  • Usuarios Privados=sí
  • Eliminar IPC=sí
  • Restringir familias de direcciones =
  • Restringir espacios de nombres=sí
  • Restringir tiempo real=sí
  • RestringirSUIDSGID=sí
  • FiltroLlamadaSistema=
  • SystemCallArchitectures=nativo

Fuente: opennet.ru

Añadir un comentario