Fedora 40 väljalase soovitab lubada isolatsiooniseaded nii vaikimisi lubatud süsteemsete süsteemiteenuste kui ka selliste kriitiliste rakendustega teenuste jaoks nagu PostgreSQL, Apache httpd, Nginx ja MariaDB. Eeldatakse, et muudatus suurendab oluliselt vaikekonfiguratsioonis levitamise turvalisust ja võimaldab blokeerida tundmatuid turvaauke süsteemiteenustes. Fedora distributsiooni arendamise tehnilise osa eest vastutav FESCo (Fedora Engineering Steering Committee) ei ole ettepanekut veel kaalunud. Ettepanek võidakse tagasi lükata ka kogukonna läbivaatamise käigus.
Soovitatavad seaded lubamiseks:
- PrivateTmp=yes – eraldi kataloogide pakkumine ajutiste failidega.
- ProtectSystem=yes/full/strict — ühendage failisüsteem kirjutuskaitstud režiimis (“täis” režiimis - /etc/, ranges režiimis - kõik failisüsteemid, välja arvatud /dev/, /proc/ ja /sys/).
- ProtectHome=yes — keelab juurdepääsu kasutaja kodukataloogidele.
- PrivateDevices=yes – jättes juurdepääsu ainult /dev/null, /dev/zero ja /dev/random
- ProtectKernelTunables=yes – kirjutuskaitstud juurdepääs /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq jne.
- ProtectKernelModules=jah – keelab kerneli moodulite laadimise.
- ProtectKernelLogs=yes – keelab juurdepääsu kerneli logidega puhvrile.
- ProtectControlGroups=jah – kirjutuskaitstud juurdepääs failile /sys/fs/cgroup/
- NoNewPrivileges=jah – keelab õiguste tõstmise setuid, setgid ja võimete lippude kaudu.
- PrivateNetwork=yes – paigutus võrgupinu eraldi nimeruumi.
- ProtectClock=jah – kellaaja muutmise keelamine.
- ProtectHostname=yes – keelab hostinime muutmise.
- ProtectProc=nähtamatu – teiste inimeste protsesside peitmine kaustas /proc.
- User= – muuda kasutajat
Lisaks võite kaaluda järgmiste seadete lubamist.
- CapabilityBoundingSet=
- DevicePolicy=suletud
- KeyringMode=privaatne
- LockPersonality=jah
- MemoryDenyWriteExecute=jah
- PrivateUsers=jah
- RemoveIPC=jah
- RestrictAddressFamilies=
- RestrictNamespaces=jah
- RestrictRealtime=jah
- RestrictSUIDSGID=jah
- SystemCallFilter=
- SystemCallArchitectures=native
Allikas: opennet.ru