Fedora 40 lage a sijere pèmèt anviwònman izolasyon pou sèvis sistèm systemd ki aktive pa default, osi byen ke sèvis ak aplikasyon pou misyon kritik tankou PostgreSQL, Apache httpd, Nginx, ak MariaDB. Li espere ke chanjman an pral siyifikativman ogmante sekirite distribisyon an nan konfigirasyon default la epi li pral fè li posib yo bloke frajilite enkoni nan sèvis sistèm lan. FESCo (Fedora Engineering Steering Committee) poko konsidere pwopozisyon an, ki responsab pati teknik devlopman distribisyon Fedora. Yo ka rejte yon pwopozisyon tou pandan pwosesis revizyon kominote a.
Anviwònman rekòmande pou pèmèt:
- PrivateTmp=wi - bay anyè separe ak dosye tanporè.
- ProtectSystem=yes/full/strict — monte sistèm fichye a nan mòd lekti sèlman (nan mòd "plen" - /etc/, nan mòd strik - tout sistèm fichye eksepte /dev/, /proc/ ak /sys/).
- ProtectHome=wi—nye aksè nan anyè lakay itilizatè yo.
- PrivateDevices=wi - kite aksè sèlman nan /dev/null, /dev/zero ak /dev/random
- ProtectKernelTunables=wi - aksè pou lekti sèlman nan /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, elatriye.
- ProtectKernelModules=wi - entèdi chaje modil nwayo.
- ProtectKernelLogs=wi - entèdi aksè nan tanpon an ak mòso nwayo.
- ProtectControlGroups=wi - aksè pou lekti sèlman nan /sys/fs/cgroup/
- NoNewPrivileges=wi - entèdi elevasyon privilèj atravè drapo setuid, setgid ak kapasite yo.
- PrivateNetwork=wi - plasman nan yon espas non separe nan chemine rezo a.
- ProtectClock=wi-entèdi chanje lè a.
- ProtectHostname=wi - entèdi chanje non lame a.
- ProtectProc=envizib - kache pwosesis lòt moun nan /proc.
- Itilizatè = - chanje itilizatè
Anplis de sa, ou ka konsidere aktive paramèt sa yo:
- CapabilityBoundingSet=
- DevicePolicy=fèmen
- KeyringMode = prive
- LockPersonality=wi
- MemoryDenyWriteExecute=wi
- PrivateUsers=wi
- RetireIPC=wi
- RestrictAddressFamilies=
- RestrictNamespaces=wi
- RestrictRealtime=wi
- RestrictSUIDSGID=wi
- SystemCallFilter=
- SystemCallArchitectures = natif natal
Sous: opennet.ru