ProHoster > Blog > noticias de internet > Fedora 40 planea activar o illamento do servizo do sistema

Fedora 40 planea activar o illamento do servizo do sistema

A versión de Fedora 40 suxire habilitar a configuración de illamento para os servizos do sistema systemd que están activados por defecto, así como os servizos con aplicacións de misión crítica como PostgreSQL, Apache httpd, Nginx e MariaDB. Espérase que o cambio aumente significativamente a seguridade da distribución na configuración predeterminada e fará posible bloquear vulnerabilidades descoñecidas nos servizos do sistema. A proposta aínda non foi considerada polo FESCo (Fedora Engineering Steering Committee), que é o responsable da parte técnica do desenvolvemento da distribución Fedora. Unha proposta tamén pode ser rexeitada durante o proceso de revisión da comunidade.

Configuración recomendada para activar:

  • PrivateTmp=si: proporciona directorios separados con ficheiros temporais.
  • ProtectSystem=yes/full/strict: monte o sistema de ficheiros en modo de só lectura (en modo "completo" - /etc/, en modo estrito - todos os sistemas de ficheiros excepto /dev/, /proc/ e /sys/).
  • ProtectHome=si: denega o acceso aos directorios de inicio dos usuarios.
  • PrivateDevices=si - deixando acceso só a /dev/null, /dev/zero e /dev/random
  • ProtectKernelTunables=si - acceso de só lectura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=si - prohibe cargar módulos do núcleo.
  • ProtectKernelLogs=si - prohibe o acceso ao búfer cos rexistros do núcleo.
  • ProtectControlGroups=si - acceso de só lectura a /sys/fs/cgroup/
  • NoNewPrivileges=si: prohíbe a elevación de privilexios a través dos indicadores setuid, setgid e capacidades.
  • PrivateNetwork=si - colocación nun espazo de nomes separado da pila de rede.
  • ProtectClock=si—prohibe cambiar a hora.
  • ProtectHostname=si - prohibe cambiar o nome do servidor.
  • ProtectProc=invisible: oculta os procesos doutras persoas en /proc.
  • Usuario= - cambiar usuario

Ademais, podes considerar activar a seguinte configuración:

  • CapabilityBoundingSet=
  • DevicePolicy=pechado
  • KeyringMode=privado
  • LockPersonality=si
  • MemoryDenyWriteExecute=si
  • PrivateUsers=si
  • Eliminar IPC=si
  • RestrictAddressFamilies=
  • RestrictNamespaces=si
  • RestrictRealtime=si
  • RestrictSUIDSGID=si
  • SystemCallFilter=
  • SystemCallArchitectures=nativo

Fonte: opennet.ru

Engadir un comentario