Fedora 40 útgáfan bendir til þess að virkja einangrunarstillingar fyrir kerfisþjónustur sem eru sjálfgefnar virkar, svo og þjónustu með mikilvægum forritum eins og PostgreSQL, Apache httpd, Nginx og MariaDB. Gert er ráð fyrir að breytingin muni auka verulega öryggi dreifingar í sjálfgefna stillingu og gera það mögulegt að loka fyrir óþekkta veikleika í kerfisþjónustu. Tillagan hefur ekki enn verið tekin fyrir af FESCo (Fedora Engineering Steering Committee), sem ber ábyrgð á tæknilega hluta þróunar Fedora dreifingarinnar. Einnig er heimilt að hafna tillögu í samfélagsskoðunarferlinu.
Mælt er með stillingum til að virkja:
- PrivateTmp=já - útvegar aðskildar möppur með tímabundnum skrám.
- ProtectSystem=yes/full/strict — tengja skráarkerfið í skrifvarinn ham (í „fullri“ ham - /etc/, í strangri ham - öll skráarkerfi nema /dev/, /proc/ og /sys/).
- ProtectHome=já — neitar aðgangi að heimamöppum notenda.
- PrivateDevices=já - skilur aðeins eftir aðgang að /dev/null, /dev/zero og /dev/random
- ProtectKernelTunables=já - skrifvarinn aðgangur að /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, osfrv.
- ProtectKernelModules=já - banna að hlaða kjarnaeiningum.
- ProtectKernelLogs=já - bannar aðgang að biðminni með kjarnaskrám.
- ProtectControlGroups=já - skrifvarinn aðgangur að /sys/fs/cgroup/
- NoNewPrivileges=já - banna hækkun réttinda í gegnum setuid, setgid og capabilities fánana.
- PrivateNetwork=já - staðsetning í sérstöku nafnrými netstokksins.
- ProtectClock=já—bannið að breyta tímanum.
- ProtectHostname=já - bannar að breyta nafni gestgjafans.
- ProtectProc=ósýnilegt - felur ferli annarra í /proc.
- Notandi= - breyta notanda
Að auki gætirðu íhugað að virkja eftirfarandi stillingar:
- CapabilityBoundingSet=
- DevicePolicy=lokað
- KeyringMode=einka
- LockPersonality=já
- MemoryDenyWriteExecute=já
- Einkanotendur=já
- RemoveIPC=já
- RestrictAddressFamilies=
- RestrictNamespaces=já
- RestrictRealtime=já
- RestrictSUIDSGID=já
- SystemCallFilter=
- SystemCallArchitectures=native
Heimild: opennet.ru