نسخه فدورا 40 پیشنهاد میکند که تنظیمات جداسازی را برای سرویسهای سیستمی که بهطور پیشفرض فعال هستند و همچنین سرویسهایی با برنامههای مهم مانند PostgreSQL، Apache httpd، Nginx و MariaDB فعال کنید. انتظار می رود که این تغییر به طور قابل توجهی امنیت توزیع را در پیکربندی پیش فرض افزایش دهد و امکان مسدود کردن آسیب پذیری های ناشناخته در سرویس های سیستم را فراهم کند. این پیشنهاد هنوز توسط FESCO (کمیته راهبری مهندسی فدورا) که مسئول بخش فنی توسعه توزیع فدورا است، در نظر گرفته نشده است. همچنین ممکن است یک پیشنهاد در طول فرآیند بررسی جامعه رد شود.
تنظیمات پیشنهادی برای فعال کردن:
- PrivateTmp=yes - ارائه دایرکتوری های جداگانه با فایل های موقت.
- ProtectSystem=yes/full/strict — سیستم فایل را در حالت فقط خواندنی سوار کنید (در حالت "کامل" - /etc/، در حالت سخت - همه سیستم های فایل به جز /dev/، /proc/ و /sys/).
- ProtectHome=yes—دسترسی به فهرستهای اصلی کاربر را رد میکند.
- PrivateDevices=yes - اجازه دسترسی فقط به /dev/null، /dev/zero و /dev/random
- ProtectKernelTunables=yes - دسترسی فقط خواندنی به /proc/sys/، /sys/، /proc/acpi، /proc/fs، /proc/irq، و غیره.
- ProtectKernelModules=بله - بارگذاری ماژول های هسته را ممنوع کنید.
- ProtectKernelLogs=yes - دسترسی به بافر با لاگ های هسته را ممنوع می کند.
- ProtectControlGroups=yes - دسترسی فقط خواندنی به /sys/fs/cgroup/
- NoNewPrivileges=yes - منع افزایش امتیازات از طریق پرچمهای setuid، setgid و قابلیتها.
- PrivateNetwork=yes - قرار دادن در یک فضای نام جداگانه از پشته شبکه.
- ProtectClock=yes—تغییر زمان را ممنوع کنید.
- ProtectHostname=yes - تغییر نام میزبان را ممنوع می کند.
- ProtectProc=invisible - مخفی کردن فرآیندهای افراد دیگر در /proc.
- کاربر = - تغییر کاربر
علاوه بر این، ممکن است تنظیمات زیر را فعال کنید:
- CapabilityBoundingSet=
- DevicePolicy=بسته است
- KeyringMode=خصوصی
- Lock Personality=بله
- MemoryDenyWriteExecute=بله
- PrivateUsers=بله
- RemoveIPC=بله
- RestrictAddressFamiles=
- RestrictNamespaces=بله
- RestrictRealtime=بله
- RestrictSUIDSGID=بله
- SystemCallFilter=
- SystemCallArchitectures=بومی
منبع: opennet.ru