Fedora 40 планира да овозможи изолација на системската услуга

Изданието на Fedora 40 предлага овозможување на поставки за изолација за системските системски услуги кои се стандардно овозможени, како и услуги со критични апликации за мисијата, како што се PostgreSQL, Apache httpd, Nginx и MariaDB. Се очекува дека промената значително ќе ја зголеми безбедноста на дистрибуцијата во стандардната конфигурација и ќе овозможи блокирање на непознати пропусти во системските услуги. Предлогот сè уште не е разгледан од FESCo (Управувачки комитет за инженерство на Fedora), кој е одговорен за техничкиот дел од развојот на дистрибуцијата на Fedora. Предлогот може да биде одбиен и за време на процесот на ревизија на заедницата.

Препорачани поставки за овозможување:

• PrivateTmp=да - обезбедување на посебни директориуми со привремени датотеки.
• ProtectSystem=yes/full/strict — монтирајте го датотечниот систем во режим само за читање (во режим „целосен“ - /etc/, во строг режим - сите датотечни системи освен /dev/, /proc/ и /sys/).
• ProtectHome=да-негира пристап до домашните директориуми на корисникот.
• PrivateDevices=yes - оставајќи пристап само до /dev/null, /dev/zero и /dev/random
• ProtectKernelTunables=да - пристап само за читање до /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, итн.
• ProtectKernelModules=да - забрани вчитување модули на јадрото.
• ProtectKernelLogs=да - забранува пристап до баферот со логови на јадрото.
• ProtectControlGroups=да - пристап само за читање до /sys/fs/cgroup/
• NoNewPrivileges=да - забранува подигање на привилегиите преку знаменцата setuid, setgid и capabilities.
• PrivateNetwork=да - сместување во посебен именски простор на мрежниот стек.
• ProtectClock=да-забрани менување на времето.
• ProtectHostname=да - забранува промена на името на домаќинот.
• ProtectProc=invisible - криење туѓи процеси во /proc.
• Корисник= - смени корисник

Дополнително, може да размислите да ги овозможите следните поставки:

• CapabilityBoundingSet=
• DevicePolicy=затворено
• KeyringMode=приватно
• LockPersonality=да
• MemoryDenyWriteExecute=да
• PrivateUsers=да
• RemoveIPC=да
• RestrictAddressFamiles=
• RestrictNamespaces=да
• RestrictRealtime=да
• RestrictSUIDSGID=да
• SystemCallFilter=
• SystemCallArchitectures=мајчин

Извор: opennet.ru