La versione Fedora 40 suggerisce di abilitare le impostazioni di isolamento per i servizi di sistema systemd abilitati per impostazione predefinita, così come i servizi con applicazioni mission-critical come PostgreSQL, Apache httpd, Nginx e MariaDB. Si prevede che la modifica aumenterà in modo significativo la sicurezza della distribuzione nella configurazione predefinita e consentirà di bloccare le vulnerabilità sconosciute nei servizi di sistema. La proposta non è stata ancora presa in considerazione dal FESCo (Fedora Engineering Steering Committee), che è responsabile della parte tecnica dello sviluppo della distribuzione Fedora. Una proposta può anche essere rifiutata durante il processo di revisione della comunità.
Impostazioni consigliate da abilitare:
- PrivateTmp=yes: fornisce directory separate con file temporanei.
- ProtectSystem=yes/full/strict — monta il file system in modalità di sola lettura (in modalità “full” - /etc/, in modalità strict - tutti i file system tranne /dev/, /proc/ e /sys/).
- ProtectHome=yes: nega l'accesso alle directory home dell'utente.
- PrivateDevices=yes - lascia l'accesso solo a /dev/null, /dev/zero e /dev/random
- ProtectKernelTunables=yes - accesso di sola lettura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, ecc.
- ProtectKernelModules=yes - impedisce il caricamento dei moduli del kernel.
- ProtectKernelLogs=yes - impedisce l'accesso al buffer con i log del kernel.
- ProtectControlGroups=yes - accesso in sola lettura a /sys/fs/cgroup/
- NoNewPrivileges=yes - proibisce l'elevazione dei privilegi attraverso i flag setuid, setgid e delle capacità.
- PrivateNetwork=yes: posizionamento in uno spazio dei nomi separato dello stack di rete.
- ProtectClock=yes: impedisce la modifica dell'ora.
- ProtectHostname=yes: impedisce la modifica del nome host.
- ProtectProc=invisible - nasconde i processi di altre persone in /proc.
- Utente= - cambia utente
Inoltre, potresti considerare di abilitare le seguenti impostazioni:
- CapabilityBoundingSet=
- DevicePolicy=chiuso
- Modalità portachiavi=privata
- LockPersonalità=sì
- MemoryDenyWriteExecute=sì
- Utenti privati=sì
- RimuoviIPC=sì
- RestrictAddressFamilies=
- RestrictNamespaces=sì
- Limita tempo reale=sì
- LimitaSUIDSGID=sì
- FiltroCallSistema=
- SystemCallArchitectures=nativo
Fonte: opennet.ru