ProHoster > blog > notizie internet > Fedora 40 prevede di abilitare l'isolamento dei servizi di sistema

Fedora 40 prevede di abilitare l'isolamento dei servizi di sistema

La versione Fedora 40 suggerisce di abilitare le impostazioni di isolamento per i servizi di sistema systemd abilitati per impostazione predefinita, così come i servizi con applicazioni mission-critical come PostgreSQL, Apache httpd, Nginx e MariaDB. Si prevede che la modifica aumenterà in modo significativo la sicurezza della distribuzione nella configurazione predefinita e consentirà di bloccare le vulnerabilità sconosciute nei servizi di sistema. La proposta non è stata ancora presa in considerazione dal FESCo (Fedora Engineering Steering Committee), che è responsabile della parte tecnica dello sviluppo della distribuzione Fedora. Una proposta può anche essere rifiutata durante il processo di revisione della comunità.

Impostazioni consigliate da abilitare:

  • PrivateTmp=yes: fornisce directory separate con file temporanei.
  • ProtectSystem=yes/full/strict — monta il file system in modalità di sola lettura (in modalità “full” - /etc/, in modalità strict - tutti i file system tranne /dev/, /proc/ e /sys/).
  • ProtectHome=yes: nega l'accesso alle directory home dell'utente.
  • PrivateDevices=yes - lascia l'accesso solo a /dev/null, /dev/zero e /dev/random
  • ProtectKernelTunables=yes - accesso di sola lettura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ecc.
  • ProtectKernelModules=yes - impedisce il caricamento dei moduli del kernel.
  • ProtectKernelLogs=yes - impedisce l'accesso al buffer con i log del kernel.
  • ProtectControlGroups=yes - accesso in sola lettura a /sys/fs/cgroup/
  • NoNewPrivileges=yes - proibisce l'elevazione dei privilegi attraverso i flag setuid, setgid e delle capacità.
  • PrivateNetwork=yes: posizionamento in uno spazio dei nomi separato dello stack di rete.
  • ProtectClock=yes: impedisce la modifica dell'ora.
  • ProtectHostname=yes: impedisce la modifica del nome host.
  • ProtectProc=invisible - nasconde i processi di altre persone in /proc.
  • Utente= - cambia utente

Inoltre, potresti considerare di abilitare le seguenti impostazioni:

  • CapabilityBoundingSet=
  • DevicePolicy=chiuso
  • Modalità portachiavi=privata
  • LockPersonalità=sì
  • MemoryDenyWriteExecute=sì
  • Utenti privati=sì
  • RimuoviIPC=sì
  • RestrictAddressFamilies=
  • RestrictNamespaces=sì
  • Limita tempo reale=sì
  • LimitaSUIDSGID=sì
  • FiltroCallSistema=
  • SystemCallArchitectures=nativo

Fonte: opennet.ru

Aggiungi un commento