ProHoster > Blogi > netin uutisia > Fedora 40 aikoo ottaa käyttöön järjestelmän palvelueristyksen

Fedora 40 aikoo ottaa käyttöön järjestelmän palvelueristyksen

Fedora 40 -julkaisu ehdottaa eristysasetusten ottamista käyttöön oletusarvoisesti käytössä oleville systemd-järjestelmäpalveluille sekä palveluille, joissa on kriittisiä sovelluksia, kuten PostgreSQL, Apache httpd, Nginx ja MariaDB. Muutoksen odotetaan lisäävän merkittävästi jakelun turvallisuutta oletuskokoonpanossa ja mahdollistavan tuntemattomien järjestelmäpalvelujen haavoittuvuuksien estämisen. Fedora-jakelun kehityksen teknisestä osasta vastaava FESCo (Fedora Engineering Steering Committee) ei ole vielä käsitellyt ehdotusta. Ehdotus voidaan myös hylätä yhteisöarvioinnin aikana.

Suositellut asetukset käyttöönottamiseksi:

  • PrivateTmp=yes - erilliset hakemistot tilapäistiedostoilla.
  • ProtectSystem=yes/full/strict — liitä tiedostojärjestelmä vain luku -tilassa ("täysi"-tilassa - /etc/, tiukassa tilassa - kaikki tiedostojärjestelmät paitsi /dev/, /proc/ ja /sys/).
  • ProtectHome=yes—estää pääsyn käyttäjien kotihakemistoihin.
  • PrivateDevices=yes - jättää pääsyn vain kohteisiin /dev/null, /dev/zero ja /dev/random
  • ProtectKernelTunables=yes - vain luku -käyttöoikeus tiedostoihin /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq jne.
  • ProtectKernelModules=yes - estää ydinmoduulien lataamisen.
  • ProtectKernelLogs=yes - estää pääsyn puskuriin ytimen lokien kanssa.
  • ProtectControlGroups=yes - vain luku -oikeus tiedostoon /sys/fs/cgroup/
  • NoNewPrivileges=yes - estää oikeuksien korottamisen setuid-, setgid- ja capabilities-lippujen kautta.
  • PrivateNetwork=yes - sijoitus verkkopinon erilliseen nimiavaruuteen.
  • ProtectClock=yes — estä kellonajan muuttaminen.
  • ProtectHostname=yes - estää isäntänimen muuttamisen.
  • ProtectProc=invisible - piilottaa muiden ihmisten prosessit tiedostoon /proc.
  • User= - vaihda käyttäjää

Lisäksi voit harkita seuraavien asetusten ottamista käyttöön:

  • CapabilityBoundingSet=
  • DevicePolicy=suljettu
  • KeyringMode = yksityinen
  • LockPersonality=kyllä
  • MemoryDenyWriteExecute=kyllä
  • PrivateUsers=kyllä
  • RemoveIPC=kyllä
  • RestrictAddressFamilies=
  • RestrictNamespaces=kyllä
  • RestrictRealtime=kyllä
  • RestrictSUIDSGID=kyllä
  • SystemCallFilter=
  • SystemCallArchitectures=natiivi

Lähde: opennet.ru

Lisää kommentti