ProHoster > Blogs > interneta ziņas > Fedora 40 plāno iespējot sistēmas pakalpojumu izolāciju

Fedora 40 plāno iespējot sistēmas pakalpojumu izolāciju

Fedora 40 laidienā ir ieteikts iespējot izolācijas iestatījumus systemd sistēmas pakalpojumiem, kas ir iespējoti pēc noklusējuma, kā arī pakalpojumiem ar kritiskām lietojumprogrammām, piemēram, PostgreSQL, Apache httpd, Nginx un MariaDB. Paredzams, ka izmaiņas būtiski paaugstinās izplatīšanas drošību noklusējuma konfigurācijā un dos iespēju bloķēt nezināmas ievainojamības sistēmas servisos. Priekšlikums vēl nav izskatīts FESCo (Fedora Engineering Steering Committee), kas ir atbildīgs par Fedora izplatīšanas izstrādes tehnisko daļu. Piedāvājums var tikt noraidīts arī kopienas pārskatīšanas procesā.

Ieteicamie iestatījumi, lai iespējotu:

  • PrivateTmp=yes — atsevišķu direktoriju nodrošināšana ar pagaidu failiem.
  • ProtectSystem=yes/full/strict — uzstādiet failu sistēmu tikai lasīšanas režīmā (“pilnajā” režīmā - /etc/, stingrā režīmā - visas failu sistēmas, izņemot /dev/, /proc/ un /sys/).
  • ProtectHome=yes — liedz piekļuvi lietotāja mājas direktorijiem.
  • PrivateDevices=yes — atstājot piekļuvi tikai /dev/null, /dev/zero un /dev/random
  • ProtectKernelTunables=yes — tikai lasīšanas piekļuve /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq utt.
  • ProtectKernelModules=yes - aizliedz kodola moduļu ielādi.
  • ProtectKernelLogs=yes - aizliedz piekļuvi buferim ar kodola žurnāliem.
  • ProtectControlGroups=jā — tikai lasīšanas piekļuve /sys/fs/cgroup/
  • NoNewPrivileges=yes - aizliedz paaugstināt privilēģijas, izmantojot karodziņus setuid, setgid un iespējas.
  • PrivateNetwork=yes — izvietojums atsevišķā tīkla steka nosaukumvietā.
  • ProtectClock=yes — aizliedz mainīt laiku.
  • ProtectHostname=yes — aizliedz mainīt resursdatora nosaukumu.
  • ProtectProc=invisible - citu cilvēku procesu slēpšana mapē /proc.
  • User= - mainīt lietotāju

Turklāt varat apsvērt iespēju iespējot tālāk norādītos iestatījumus.

  • CapabilityBoundingSet=
  • DevicePolicy=slēgts
  • KeyringMode=privāts
  • LockPersonality=jā
  • MemoryDenyWriteExecute=jā
  • PrivateUsers=jā
  • RemoveIPC=jā
  • RestrictAddressFamilies=
  • RestrictNamespaces=jā
  • RestrictRealtime=jā
  • RestrictSUIDSGID=jā
  • SystemCallFilter=
  • SystemCallArchitectures=native

Avots: opennet.ru

Pievieno komentāru