ProHoster > blog > berita internet > Fedora 40 berencana untuk mengaktifkan isolasi layanan sistem

Fedora 40 berencana untuk mengaktifkan isolasi layanan sistem

Rilis Fedora 40 menyarankan untuk mengaktifkan pengaturan isolasi untuk layanan sistem systemd yang diaktifkan secara default, serta layanan dengan aplikasi penting seperti PostgreSQL, Apache httpd, Nginx, dan MariaDB. Perubahan ini diharapkan akan meningkatkan keamanan distribusi secara signifikan dalam konfigurasi default dan memungkinkan untuk memblokir kerentanan yang tidak diketahui dalam layanan sistem. Proposal tersebut belum dipertimbangkan oleh FESCo (Fedora Engineering Steering Committee), yang bertanggung jawab atas bagian teknis pengembangan distribusi Fedora. Proposal juga dapat ditolak selama proses peninjauan komunitas.

Pengaturan yang disarankan untuk diaktifkan:

  • PrivateTmp=yes - menyediakan direktori terpisah dengan file sementara.
  • ProtectSystem=yes/full/strict β€” pasang sistem file dalam mode read-only (dalam mode β€œfull” - /etc/, dalam mode strict - semua sistem file kecuali /dev/, /proc/ dan /sys/).
  • ProtectHome=yesβ€”menolak akses ke direktori home pengguna.
  • PrivateDevices=yes - hanya menyisakan akses ke /dev/null, /dev/zero dan /dev/random
  • ProtectKernelTunables=yes - akses hanya baca ke /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, dll.
  • ProtectKernelModules=yes - melarang memuat modul kernel.
  • ProtectKernelLogs=yes - melarang akses ke buffer dengan log kernel.
  • ProtectControlGroups=yes - akses hanya baca ke /sys/fs/cgroup/
  • NoNewPrivileges=yes - melarang peningkatan hak istimewa melalui tanda setuid, setgid, dan kemampuan.
  • PrivateNetwork=yes - penempatan di namespace terpisah dari tumpukan jaringan.
  • ProtectClock=yesβ€”melarang mengubah waktu.
  • ProtectHostname=yes - melarang perubahan nama host.
  • ProtectProc=invisible - menyembunyikan proses orang lain di /proc.
  • Pengguna= - ganti pengguna

Selain itu, Anda dapat mempertimbangkan untuk mengaktifkan pengaturan berikut:

  • Set Batas Kemampuan=
  • Kebijakan Perangkat=ditutup
  • KeyringMode=pribadi
  • LockPersonality=ya
  • MemoryDenyWriteExecute=ya
  • Pengguna Pribadi=ya
  • HapusIPC=ya
  • BatasiAlamatKeluarga=
  • RestrictNamespaces=ya
  • Batasi Waktu Nyata=ya
  • BatasiSUIDSGID=ya
  • Filter Panggilan Sistem=
  • SystemCallArchitectures=asli

Sumber: opennet.ru

Tambah komentar