Fedora 40은 시스템 서비스 격리를 활성화할 계획입니다.

Fedora 40 릴리스에서는 기본적으로 활성화된 시스템 시스템 서비스뿐만 아니라 PostgreSQL, Apache httpd, Nginx 및 MariaDB와 같은 미션 크리티컬 애플리케이션이 포함된 서비스에 대한 격리 설정 활성화를 제안합니다. 이번 변경으로 기본 구성에서 배포판의 보안성이 대폭 강화되고, 시스템 서비스에서 알려지지 않은 취약점을 차단할 수 있게 될 것으로 기대된다. 이 제안은 아직 Fedora 배포판 개발의 기술적인 부분을 담당하는 FESCo(Fedora Engineering Steering Committee)에서 고려되지 않았습니다. 커뮤니티 검토 과정에서 제안이 거부될 수도 있습니다.

활성화할 권장 설정:

• PrivateTmp=yes - 임시 파일이 포함된 별도의 디렉터리를 제공합니다.
• ProtectSystem=yes/full/strict — 파일 시스템을 읽기 전용 모드로 마운트합니다("전체" 모드 - /etc/, 엄격 모드 - /dev/, /proc/ 및 /sys/를 제외한 모든 파일 시스템).
• ProtectHome=yes - 사용자 홈 디렉터리에 대한 액세스를 거부합니다.
• PrivateDevices=yes - /dev/null, /dev/zero 및 /dev/random에만 액세스하도록 둡니다.
• ProtectKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq 등에 대한 읽기 전용 액세스입니다.
• ProtectKernelModules=yes - 커널 모듈 로드를 금지합니다.
• ProtectKernelLogs=yes - 커널 로그가 있는 버퍼에 대한 액세스를 금지합니다.
• ProtectControlGroups=yes - /sys/fs/cgroup/에 대한 읽기 전용 액세스
• NoNewPrivileges=yes - setuid, setgid 및 기능 플래그를 통한 권한 상승을 금지합니다.
• PrivateNetwork=yes - 네트워크 스택의 별도 네임스페이스에 배치됩니다.
• ProtectClock=yes - 시간 변경을 금지합니다.
• ProtectHostname=yes - 호스트 이름 변경을 금지합니다.
• ProtectProc=invisible - /proc에 다른 사람의 프로세스를 숨깁니다.
• 사용자= - 사용자 변경

또한 다음 설정을 활성화하는 것을 고려할 수 있습니다.

• CapabilityBoundingSet=
• DevicePolicy=닫힘
• 키링모드=비공개
• LockPersonality=예
• MemoryDenyWriteExecute=예
• 개인사용자=예
• 제거IPC=예
• RestrictAddressFamilies=
• RestrictNamespaces=예
• RestrictRealtime=예
• RestrictSUIDSGID=예
• 시스템콜필터=
• SystemCallArchitectures=네이티브

출처 : opennet.ru