ProHoster > Blog > berita internet > Fedora 40 merancang untuk membolehkan pengasingan perkhidmatan sistem

Fedora 40 merancang untuk membolehkan pengasingan perkhidmatan sistem

Keluaran Fedora 40 mencadangkan mendayakan tetapan pengasingan untuk perkhidmatan sistem sistem yang didayakan secara lalai, serta perkhidmatan dengan aplikasi kritikal misi seperti PostgreSQL, Apache httpd, Nginx dan MariaDB. Dijangkakan bahawa perubahan itu akan meningkatkan keselamatan pengedaran dengan ketara dalam konfigurasi lalai dan akan memungkinkan untuk menyekat kelemahan yang tidak diketahui dalam perkhidmatan sistem. Cadangan itu belum lagi dipertimbangkan oleh FESCo (Jawatankuasa Pemandu Kejuruteraan Fedora), yang bertanggungjawab untuk bahagian teknikal pembangunan pengedaran Fedora. Cadangan juga mungkin ditolak semasa proses semakan komuniti.

Tetapan yang disyorkan untuk membolehkan:

  • PrivateTmp=ya - menyediakan direktori berasingan dengan fail sementara.
  • ProtectSystem=yes/full/strict β€” lekapkan sistem fail dalam mod baca sahaja (dalam mod β€œpenuh” - /etc/, dalam mod ketat - semua sistem fail kecuali /dev/, /proc/ dan /sys/).
  • ProtectHome=yesβ€”menolak akses kepada direktori rumah pengguna.
  • PrivateDevices=ya - meninggalkan akses hanya kepada /dev/null, /dev/zero dan /dev/random
  • ProtectKernelTunables=ya - akses baca sahaja ke /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, dsb.
  • ProtectKernelModules=ya - larang memuatkan modul kernel.
  • ProtectKernelLogs=ya - melarang akses kepada penimbal dengan log kernel.
  • ProtectControlGroups=ya - akses baca sahaja ke /sys/fs/cgroup/
  • NoNewPrivileges=ya - melarang peningkatan keistimewaan melalui bendera setuid, setgid dan keupayaan.
  • PrivateNetwork=ya - penempatan dalam ruang nama yang berasingan bagi timbunan rangkaian.
  • ProtectClock=yaβ€”larang menukar masa.
  • ProtectHostname=ya - melarang menukar nama hos.
  • ProtectProc=invisible - menyembunyikan proses orang lain dalam /proc.
  • Pengguna= - tukar pengguna

Selain itu, anda boleh mempertimbangkan untuk mendayakan tetapan berikut:

  • CapabilityBoundingSet=
  • DevicePolicy=ditutup
  • KeyringMode=peribadi
  • LockPersonality=ya
  • MemoryDenyWriteExecute=ya
  • PrivateUsers=ya
  • RemoveIPC=ya
  • RestrictAddressFamilies=
  • RestrictNamespaces=ya
  • RestrictRealtime=ya
  • RestrictSUIDSGID=ya
  • SystemCallFilter=
  • SystemCallArchitectures=asli

Sumber: opennet.ru

Tambah komen