Fedora 40 מתכננת לאפשר בידוד שירותי מערכת

המהדורה של Fedora 40 מציעה הפעלת הגדרות בידוד עבור שירותי מערכת מערכת המופעלים כברירת מחדל, כמו גם שירותים עם יישומים קריטיים למשימה כגון PostgreSQL, Apache httpd, Nginx ו-MariaDB. צפוי שהשינוי יגביר משמעותית את אבטחת ההפצה בתצורת ברירת המחדל ויאפשר חסימת נקודות תורפה לא ידועות בשירותי המערכת. ההצעה טרם נבחנה על ידי ועדת היגוי של FESCo (Fedora Engineering Steering Committee), שאחראית על החלק הטכני של פיתוח הפצת פדורה. הצעה עשויה להידחות גם במהלך תהליך הביקורת בקהילה.

הגדרות מומלצות להפעלת:

• PrivateTmp=yes - מתן ספריות נפרדות עם קבצים זמניים.
• ProtectSystem=yes/full/strict — טען את מערכת הקבצים במצב קריאה בלבד (במצב "מלא" - /etc/, במצב strict - כל מערכות הקבצים מלבד /dev/, /proc/ ו-/sys/).
• ProtectHome=כן - מונע גישה לספריות הבית של המשתמש.
• PrivateDevices=yes - השארת גישה רק ל-/dev/null, /dev/zero ו-/dev/random
• ProtectKernelTunables=yes - גישה לקריאה בלבד אל /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq וכו'.
• ProtectKernelModules=כן - אסור לטעון מודולי ליבה.
• ProtectKernelLogs=כן - אוסר על גישה למאגר עם יומני ליבה.
• ProtectControlGroups=כן - גישת קריאה בלבד אל /sys/fs/cgroup/
• NoNewPrivileges=כן - איסור על העלאת הרשאות באמצעות דגלי setuid, setgid ו-capabilities.
• PrivateNetwork=yes - מיקום במרחב שמות נפרד של מחסנית הרשת.
• ProtectClock=כן - אסור לשנות את השעה.
• ProtectHostname=yes - אוסר על שינוי שם המארח.
• ProtectProc=invisible - הסתרת תהליכים של אנשים אחרים ב-/proc.
• User= - שנה משתמש

בנוסף, תוכל לשקול להפעיל את ההגדרות הבאות:

• CapabilityBoundingSet=
• DevicePolicy=סגור
• KeyringMode=פרטי
• LockPersonality=כן
• MemoryDenyWriteExecute=כן
• משתמשים פרטיים=כן
• RemoveIPC=כן
• RestrictAddressFamilies=
• RestrictNamespaces=כן
• RestrictRealtime=כן
• RestrictSUIDSGID=כן
• SystemCallFilter=
• SystemCallArchitectures=מקורי

מקור: OpenNet.ru