ProHoster > Blog > Interneteko albisteak > Fedora 40-k sistemaren zerbitzuen isolamendua gaitzeko asmoa du

Fedora 40-k sistemaren zerbitzuen isolamendua gaitzeko asmoa du

Fedora 40 bertsioak lehenespenez gaituta dauden systemd sistemako zerbitzuetarako isolamendu ezarpenak gaitzea iradokitzen du, baita PostgreSQL, Apache httpd, Nginx eta MariaDB bezalako aplikazio kritikoekin ere. Espero da aldaketak banaketaren segurtasuna nabarmen handituko duela konfigurazio lehenetsian eta sistemaren zerbitzuetan ahultasun ezezagunak blokeatzea ahalbidetuko duela. Proposamena oraindik ez du aintzat hartu FESCo (Fedora Engineering Steering Committee), bera baita Fedora banaketaren garapenaren atal teknikoaz. Proposamen bat baztertu egin daiteke komunitatearen berrikuspen prozesuan.

Gaitzeko gomendatutako ezarpenak:

  • PrivateTmp=bai - direktorio bereiziak aldi baterako fitxategiekin hornitzea.
  • ProtectSystem=yes/full/strict β€” muntatu fitxategi-sistema irakurtzeko soilik moduan (Β«osoaΒ» moduan - /etc/, modu zorrotzean - fitxategi-sistema guztiak /dev/, /proc/ eta /sys/ izan ezik).
  • ProtectHome=bai: erabiltzaileen etxeko direktorioetarako sarbidea ukatzen du.
  • PrivateDevices=bai - sarbidea /dev/null, /dev/zero eta /dev/random soilik utziz
  • ProtectKernelTunables=yes - irakurtzeko soilik sarbidea /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etab.
  • ProtectKernelModules=bai - debekatu nukleoaren moduluak kargatzea.
  • ProtectKernelLogs=bai - nukleoaren erregistroekin bufferera sarbidea debekatzen du.
  • ProtectControlGroups=bai - irakurtzeko soilik sarbidea /sys/fs/cgroup/-ra
  • NoNewPrivileges=bai - setuid, setgid eta gaitasun-marken bidez pribilegioak igotzea debekatzen da.
  • PrivateNetwork=bai - sare-pilaren izen-eremu bereizi batean kokatzea.
  • ProtectClock=bai: debekatu ordua aldatzea.
  • ProtectHostname=bai - ostalariaren izena aldatzea debekatzen du.
  • ProtectProc=ikusezina - besteen prozesuak /proc-en ezkutatzea.
  • Erabiltzailea= - erabiltzailea aldatu

Gainera, baliteke ezarpen hauek gaitzea:

  • GaitasunBoundingSet=
  • DevicePolicy=itxita
  • KeyringMode=pribatua
  • LockPersonality=bai
  • MemoryDenyWriteExecute=bai
  • PrivateUsers=bai
  • KenduIPC=bai
  • RestrictAddressFamilies=
  • RestrictNamespaces=bai
  • RestrictRealtime=bai
  • RestrictSUIDSGID=bai
  • SystemCallFilter=
  • SystemCallArchitectures=berezkoa

Iturria: opennet.ru

Gehitu iruzkin berria