ProHoster > Blog > internetske vijesti > Fedora 40 planira omogućiti izolaciju usluge sustava

Fedora 40 planira omogućiti izolaciju usluge sustava

Izdanje Fedora 40 predlaže omogućavanje postavki izolacije za sistemske usluge systemd koje su omogućene prema zadanim postavkama, kao i usluge s kritičnim aplikacijama kao što su PostgreSQL, Apache httpd, Nginx i MariaDB. Očekuje se da će promjena značajno povećati sigurnost distribucije u zadanoj konfiguraciji i omogućiti blokiranje nepoznatih ranjivosti u servisima sustava. Prijedlog još nije razmatran od strane FESCo (Fedora Engineering Steering Committee) koji je odgovoran za tehnički dio razvoja Fedora distribucije. Prijedlog također može biti odbijen tijekom procesa pregleda zajednice.

Preporučene postavke za omogućavanje:

  • PrivateTmp=yes - pružanje zasebnih direktorija s privremenim datotekama.
  • ProtectSystem=yes/full/strict — montirajte datotečni sustav u načinu samo za čitanje (u “punom” načinu - /etc/, u strogom načinu - svi datotečni sustavi osim /dev/, /proc/ i /sys/).
  • ProtectHome=yes—zabranjuje pristup početnim imenicima korisnika.
  • PrivateDevices=yes - ostavlja pristup samo za /dev/null, /dev/zero i /dev/random
  • ProtectKernelTunables=yes - pristup samo za čitanje /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, itd.
  • ProtectKernelModules=yes - zabrani učitavanje modula jezgre.
  • ProtectKernelLogs=yes - zabranjuje pristup međuspremniku s zapisima kernela.
  • ProtectControlGroups=yes - pristup samo za čitanje /sys/fs/cgroup/
  • NoNewPrivileges=yes - zabrana povećanja privilegija putem oznaka setuid, setgid i capabilities.
  • PrivateNetwork=yes - smještaj u poseban imenski prostor mrežnog stoga.
  • ProtectClock=yes—zabrani promjenu vremena.
  • ProtectHostname=yes - zabranjuje promjenu naziva hosta.
  • ProtectProc=invisible - skriva tuđe procese u /proc.
  • Korisnik= - promijenite korisnika

Osim toga, možete razmisliti o omogućavanju sljedećih postavki:

  • CapabilityBoundingSet=
  • DevicePolicy=zatvoreno
  • KeyringMode=privatno
  • LockPersonality=da
  • MemoryDenyWriteExecute=da
  • PrivateUsers=da
  • Ukloni IPC=da
  • RestrictAddressFamilies=
  • RestrictNamespaces=da
  • RestrictRealtime=da
  • RestrictSUIDSGID=da
  • SystemCallFilter=
  • SystemCallArchitectures=izvorni

Izvor: opennet.ru

Dodajte komentar