ProHoster > Blog > ynternet nijs > Fedora 40 is fan plan om systeemtsjinst-isolaasje yn te skeakeljen

Fedora 40 is fan plan om systeemtsjinst-isolaasje yn te skeakeljen

De Fedora 40-release suggerearret it ynskeakeljen fan isolaasjeynstellingen foar systemd systeemtsjinsten dy't standert ynskeakele binne, lykas tsjinsten mei missy-krityske applikaasjes lykas PostgreSQL, Apache httpd, Nginx, en MariaDB. It wurdt ferwachte dat de wiziging de feiligens fan 'e distribúsje yn' e standertkonfiguraasje signifikant ferheegje sil en it mooglik makket om ûnbekende kwetsberens yn systeemtsjinsten te blokkearjen. It foarstel is noch net beskôge troch de FESCo (Fedora Engineering Steering Committee), dy't ferantwurdlik is foar it technyske diel fan 'e ûntwikkeling fan' e Fedora-distribúsje. In foarstel kin ek wurde ôfwiisd tidens it proses fan 'e gemeentlike beoardieling.

Oanrikkemandearre ynstellings om yn te skeakeljen:

  • PrivateTmp=ja - it leverjen fan aparte mappen mei tydlike triemmen.
  • ProtectSystem=yes/full/strict - montearje it bestânsysteem yn allinich-lêsmodus (yn "folsleine" modus - /etc/, yn strange modus - alle bestânsystemen útsein /dev/, /proc/ en /sys/).
  • ProtectHome=ja—weigeret tagong ta thúskatalogen fan brûkers.
  • PrivateDevices=ja - allinich tagong litte ta /dev/null, /dev/nul en /dev/random
  • ProtectKernelTunables=ja - allinnich-lês tagong ta /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ensfh.
  • ProtectKernelModules=ja - it laden fan kernelmodules ferbean.
  • ProtectKernelLogs=ja - ferbiedt tagong ta de buffer mei kernel logs.
  • ProtectControlGroups=ja - allinnich-lês tagong ta /sys/fs/cgroup/
  • NoNewPrivileges=ja - ferbean ferheging fan privileezjes troch de flaggen setuid, setgid en mooglikheden.
  • PrivateNetwork=ja - pleatsing yn in aparte nammeromte fan de netwurkstapel.
  • ProtectClock=ja—ferbiede it feroarjen fan de tiid.
  • ProtectHostname=ja - ferbiedt it feroarjen fan de hostnamme.
  • ProtectProc=ûnsichtber - ferbergje de prosessen fan oaren yn /proc.
  • Brûker= - brûker feroarje

Derneist kinne jo beskôgje om de folgjende ynstellings yn te skeakeljen:

  • CapabilityBoundingSet=
  • DevicePolicy=sletten
  • KeyringMode=privee
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • PrivateUsers=ja
  • RemoveIPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=ja
  • RestrictRealtime=ja
  • RestrictSUIDSGID=ja
  • SystemCallFilter=
  • SystemCallArchitectures=native

Boarne: opennet.ru

Add a comment