Fedora 40 リリースでは、デフォルトで有効になっている systemd システム サービスと、PostgreSQL、Apache httpd、Nginx、MariaDB などのミッション クリティカルなアプリケーションのサービスの分離設定を有効にすることが提案されています。 この変更により、デフォルト構成でのディストリビューションのセキュリティが大幅に向上し、システム サービスの未知の脆弱性をブロックできるようになることが期待されています。 この提案は、Fedora ディストリビューションの開発の技術的な部分を担当する FESCo (Fedora Engineering Steering Committee) によってまだ検討されていません。 コミュニティのレビュープロセス中に提案が拒否される場合もあります。
有効にするための推奨設定:
- PrivateTmp=yes - 一時ファイルを含む別のディレクトリを提供します。
- ProtectSystem=yes/full/strict — ファイル システムを読み取り専用モードでマウントします (「フル」モード - /etc/、strict モード - /dev/、/proc/、/sys/ を除くすべてのファイル システム)。
- ProtectHome=yes - ユーザーのホーム ディレクトリへのアクセスを拒否します。
- PrivateDevices=yes - /dev/null、/dev/zero、/dev/random へのアクセスのみを残します
- ProtectKernelTunables=yes - /proc/sys/、/sys/、/proc/acpi、/proc/fs、/proc/irq などへの読み取り専用アクセス。
- ProtectKernelModules=yes - カーネル モジュールのロードを禁止します。
- ProtectKernelLogs=yes - カーネル ログのあるバッファへのアクセスを禁止します。
- ProtectControlGroups=yes - /sys/fs/cgroup/ への読み取り専用アクセス
- NoNewPrivileges=yes - setuid、setgid、機能フラグによる特権の昇格を禁止します。
- PrivateNetwork=yes - ネットワーク スタックの別の名前空間に配置します。
- ProtectClock=yes - 時刻の変更を禁止します。
- ProtectHostname=yes - ホスト名の変更を禁止します。
- ProtectProc=invisible - 他の人のプロセスを /proc に隠します。
- User= - ユーザーを変更します
さらに、次の設定を有効にすることを検討してください。
- CapabilityBoundingSet=
- DevicePolicy=closed
- キーリングモード=プライベート
- LockPersonality=はい
- メモリ拒否書き込み実行=はい
- PrivateUsers=はい
- RemoveIPC=はい
- RestrictAddressFamilies=
- RestrictNamespaces=はい
- RestrictRealtime=はい
- RestrictSUIDSGID=はい
- システムコールフィルター=
- SystemCallArchitectures=ネイティブ
出所: オープンネット.ru