Fedora 40 -julkaisu ehdottaa eristysasetusten ottamista käyttöön oletusarvoisesti käytössä oleville systemd-järjestelmäpalveluille sekä palveluille, joissa on kriittisiä sovelluksia, kuten PostgreSQL, Apache httpd, Nginx ja MariaDB. Muutoksen odotetaan lisäävän merkittävästi jakelun turvallisuutta oletuskokoonpanossa ja mahdollistavan tuntemattomien järjestelmäpalvelujen haavoittuvuuksien estämisen. Fedora-jakelun kehityksen teknisestä osasta vastaava FESCo (Fedora Engineering Steering Committee) ei ole vielä käsitellyt ehdotusta. Ehdotus voidaan myös hylätä yhteisöarvioinnin aikana.
Suositellut asetukset käyttöönottamiseksi:
- PrivateTmp=yes - erilliset hakemistot tilapäistiedostoilla.
- ProtectSystem=yes/full/strict — liitä tiedostojärjestelmä vain luku -tilassa ("täysi"-tilassa - /etc/, tiukassa tilassa - kaikki tiedostojärjestelmät paitsi /dev/, /proc/ ja /sys/).
- ProtectHome=yes—estää pääsyn käyttäjien kotihakemistoihin.
- PrivateDevices=yes - jättää pääsyn vain kohteisiin /dev/null, /dev/zero ja /dev/random
- ProtectKernelTunables=yes - vain luku -käyttöoikeus tiedostoihin /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq jne.
- ProtectKernelModules=yes - estää ydinmoduulien lataamisen.
- ProtectKernelLogs=yes - estää pääsyn puskuriin ytimen lokien kanssa.
- ProtectControlGroups=yes - vain luku -oikeus tiedostoon /sys/fs/cgroup/
- NoNewPrivileges=yes - estää oikeuksien korottamisen setuid-, setgid- ja capabilities-lippujen kautta.
- PrivateNetwork=yes - sijoitus verkkopinon erilliseen nimiavaruuteen.
- ProtectClock=yes — estä kellonajan muuttaminen.
- ProtectHostname=yes - estää isäntänimen muuttamisen.
- ProtectProc=invisible - piilottaa muiden ihmisten prosessit tiedostoon /proc.
- User= - vaihda käyttäjää
Lisäksi voit harkita seuraavien asetusten ottamista käyttöön:
- CapabilityBoundingSet=
- DevicePolicy=suljettu
- KeyringMode = yksityinen
- LockPersonality=kyllä
- MemoryDenyWriteExecute=kyllä
- PrivateUsers=kyllä
- RemoveIPC=kyllä
- RestrictAddressFamilies=
- RestrictNamespaces=kyllä
- RestrictRealtime=kyllä
- RestrictSUIDSGID=kyllä
- SystemCallFilter=
- SystemCallArchitectures=natiivi
Lähde: opennet.ru