A versión de Fedora 40 suxire habilitar a configuración de illamento para os servizos do sistema systemd que están activados por defecto, así como os servizos con aplicacións de misión crítica como PostgreSQL, Apache httpd, Nginx e MariaDB. Espérase que o cambio aumente significativamente a seguridade da distribución na configuración predeterminada e fará posible bloquear vulnerabilidades descoñecidas nos servizos do sistema. A proposta aínda non foi considerada polo FESCo (Fedora Engineering Steering Committee), que é o responsable da parte técnica do desenvolvemento da distribución Fedora. Unha proposta tamén pode ser rexeitada durante o proceso de revisión da comunidade.
Configuración recomendada para activar:
- PrivateTmp=si: proporciona directorios separados con ficheiros temporais.
- ProtectSystem=yes/full/strict: monte o sistema de ficheiros en modo de só lectura (en modo "completo" - /etc/, en modo estrito - todos os sistemas de ficheiros excepto /dev/, /proc/ e /sys/).
- ProtectHome=si: denega o acceso aos directorios de inicio dos usuarios.
- PrivateDevices=si - deixando acceso só a /dev/null, /dev/zero e /dev/random
- ProtectKernelTunables=si - acceso de só lectura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
- ProtectKernelModules=si - prohibe cargar módulos do núcleo.
- ProtectKernelLogs=si - prohibe o acceso ao búfer cos rexistros do núcleo.
- ProtectControlGroups=si - acceso de só lectura a /sys/fs/cgroup/
- NoNewPrivileges=si: prohíbe a elevación de privilexios a través dos indicadores setuid, setgid e capacidades.
- PrivateNetwork=si - colocación nun espazo de nomes separado da pila de rede.
- ProtectClock=si—prohibe cambiar a hora.
- ProtectHostname=si - prohibe cambiar o nome do servidor.
- ProtectProc=invisible: oculta os procesos doutras persoas en /proc.
- Usuario= - cambiar usuario
Ademais, podes considerar activar a seguinte configuración:
- CapabilityBoundingSet=
- DevicePolicy=pechado
- KeyringMode=privado
- LockPersonality=si
- MemoryDenyWriteExecute=si
- PrivateUsers=si
- Eliminar IPC=si
- RestrictAddressFamilies=
- RestrictNamespaces=si
- RestrictRealtime=si
- RestrictSUIDSGID=si
- SystemCallFilter=
- SystemCallArchitectures=nativo
Fonte: opennet.ru