ProHoster > Blog > actualités internet > Fedora 40 prévoit d'activer l'isolation des services système

Fedora 40 prévoit d'activer l'isolation des services système

La version Fedora 40 suggère d'activer les paramètres d'isolation pour les services système systemd qui sont activés par défaut, ainsi que pour les services avec des applications critiques telles que PostgreSQL, Apache httpd, Nginx et MariaDB. On s'attend à ce que le changement augmente considérablement la sécurité de la distribution dans la configuration par défaut et permette de bloquer les vulnérabilités inconnues des services système. La proposition n'a pas encore été examinée par le FESCo (Fedora Engineering Steering Committee), qui est responsable de la partie technique du développement de la distribution Fedora. Une proposition peut également être rejetée lors du processus d’examen communautaire.

Paramètres recommandés à activer :

  • PrivateTmp=yes - fournissant des répertoires séparés avec des fichiers temporaires.
  • ProtectSystem=yes/full/strict — monte le système de fichiers en mode lecture seule (en mode « complet » - /etc/, en mode strict - tous les systèmes de fichiers sauf /dev/, /proc/ et /sys/).
  • ProtectHome=yes : refuse l'accès aux répertoires personnels des utilisateurs.
  • PrivateDevices=yes - laissant l'accès uniquement à /dev/null, /dev/zero et /dev/random
  • ProtectKernelTunables=yes - accès en lecture seule à /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=yes - interdit le chargement des modules du noyau.
  • ProtectKernelLogs=yes - interdit l'accès au tampon avec les journaux du noyau.
  • ProtectControlGroups=yes - accès en lecture seule à /sys/fs/cgroup/
  • NoNewPrivileges=yes - interdit l'élévation des privilèges via les indicateurs setuid, setgid et capacités.
  • PrivateNetwork=yes - placement dans un espace de noms distinct de la pile réseau.
  • ProtectClock=yes : interdire la modification de l'heure.
  • ProtectHostname=yes - interdit de modifier le nom d'hôte.
  • ProtectProc=invisible - masquer les processus des autres dans /proc.
  • Utilisateur= - changer d'utilisateur

De plus, vous pouvez envisager d'activer les paramètres suivants :

  • CapacitéBoundingSet=
  • DevicePolicy=fermé
  • KeyringMode=privé
  • LockPersonality=oui
  • MemoryDenyWriteExecute=oui
  • Utilisateurs privés = oui
  • SupprimerIPC=oui
  • RestrictAddressFamilies=
  • RestrictNamespaces=oui
  • RestrictRealtime=oui
  • RestrictSUIDSGID=oui
  • SystèmeCallFilter=
  • SystemCallArchitectures=natif

Source: opennet.ru

Ajouter un commentaire