ProHoster > Blog > Internet Neiegkeeten > Fedora 40 plangt System Service Isolatioun z'erméiglechen

Fedora 40 plangt System Service Isolatioun z'erméiglechen

D'Fedora 40 Verëffentlechung proposéiert d'Isolatiounsastellunge fir systemd Systemdéngschter z'aktivéieren, déi als Standard aktivéiert sinn, souwéi Servicer mat missionskriteschen Uwendungen wéi PostgreSQL, Apache httpd, Nginx, a MariaDB. Et gëtt erwaart datt d'Ännerung d'Sécherheet vun der Verdeelung an der Standardkonfiguratioun wesentlech erhéicht an et méiglech mécht onbekannt Schwachstelle bei Systemservicer ze blockéieren. D'Propositioun ass nach net vum FESCo (Fedora Engineering Steering Committee) berücksichtegt ginn, dee verantwortlech ass fir den techneschen Deel vun der Entwécklung vun der Fedora Verdeelung. Eng Propositioun kann och während dem Gemeinschaftsrevisiounsprozess verworf ginn.

Recommandéiert Astellunge fir z'aktivéieren:

  • PrivateTmp=jo - getrennte Verzeichnisser mat temporäre Dateien ubitt.
  • ProtectSystem = jo / voll / streng - montéiert de Dateiesystem am Read-only Modus (am "voll" Modus - /etc/, am strikte Modus - all Dateiesystemer ausser /dev/, /proc/ an /sys/).
  • ProtectHome = jo - refuséiert Zougang zu Benotzer Heemverzeichnisser.
  • PrivateDevices=jo - erlaabt nëmmen Zougang zu /dev/null, /dev/null an /dev/random
  • ProtectKernelTunables=jo - nëmmen liesen Zougang zu /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=jo - verbueden d'Kernelmoduler ze lueden.
  • ProtectKernelLogs=jo - verbitt den Zougang zum Puffer mat Kernel Logbicher.
  • ProtectControlGroups=jo - nëmmen liesen Zougang zu /sys/fs/cgroup/
  • NoNewPrivileges=jo - Verbidden d'Erhéijung vun de Privilegien duerch d'Setuid, Setgid a Capabilities Fändelen.
  • PrivateNetwork=jo - Plazéierung an engem getrennten Nummraum vum Netzwierkstack.
  • ProtectClock=jo - verbidden d'Zäit änneren.
  • ProtectHostname=jo - verbitt den Hostnumm z'änneren.
  • ProtectProc=onsichtbar - verstoppt aner Leit hir Prozesser an /proc.
  • Benotzer = - Benotzer änneren

Zousätzlech kënnt Dir iwwerleeën déi folgend Astellungen z'aktivéieren:

  • CapabilityBoundingSet=
  • DevicePolicy=zougemaach
  • KeyringMode=privat
  • LockPersonality=jo
  • MemoryDenyWriteExecute=jo
  • PrivateUsers=jo
  • RemoveIPC=jo
  • RestrictAddressFamilies=
  • RestrictNamespaces=jo
  • RestrictRealtime=jo
  • RestrictSUIDSGID=jo
  • SystemCallFilter=
  • SystemCallArchitectures=native

Source: opennet.ru

Setzt e Commentaire