Ir-rilaxx ta 'Fedora 40 jissuġġerixxi l-abilitazzjoni ta' settings ta 'iżolament għal servizzi tas-sistema systemd li huma attivati awtomatikament, kif ukoll servizzi b'applikazzjonijiet kritiċi għall-missjoni bħal PostgreSQL, Apache httpd, Nginx u MariaDB. Huwa mistenni li l-bidla żżid b'mod sinifikanti s-sigurtà tad-distribuzzjoni fil-konfigurazzjoni default u tagħmilha possibbli li jiġu mblukkati vulnerabbiltajiet mhux magħrufa fis-servizzi tas-sistema. Il-proposta għadha ma ġietx ikkunsidrata mill-FESCo (Fedora Engineering Steering Committee), li huwa responsabbli għall-parti teknika tal-iżvilupp tad-distribuzzjoni Fedora. Proposta tista' wkoll tiġi miċħuda matul il-proċess ta' reviżjoni tal-komunità.
Settings rakkomandati biex jippermettu:
- PrivateTmp=iva - jipprovdu direttorji separati b'fajls temporanji.
- ProtectSystem=yes/full/strict — mmunta s-sistema tal-fajls fil-modalità ta' qari biss (fil-modalità “sħiħa” - /etc/, fil-modalità stretta - is-sistemi tal-fajls kollha ħlief /dev/, /proc/ u /sys/).
- ProtectHome=iva—jiċħad l-aċċess għad-direttorji tad-dar tal-utenti.
- PrivateDevices=iva - tħalli aċċess biss għal /dev/null, /dev/zero u /dev/random
- ProtectKernelTunables=iva - aċċess għall-qari biss għal /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, eċċ.
- ProtectKernelModules=iva - tipprojbixxi t-tagħbija tal-moduli tal-kernel.
- ProtectKernelLogs=iva - jipprojbixxi l-aċċess għall-buffer bi zkuk tal-kernel.
- ProtectControlGroups=iva - aċċess għall-qari biss għal /sys/fs/cgroup/
- NoNewPrivileges=iva - tipprojbixxi l-elevazzjoni tal-privileġġi permezz tal-bnadar setuid, setgid u kapaċitajiet.
- PrivateNetwork=iva - tqegħid fi spazju tal-isem separat tal-munzell tan-netwerk.
- ProtectClock=iva—ipprojbixxi t-tibdil tal-ħin.
- ProtectHostname=iva - jipprojbixxi l-bidla tal-isem tal-host.
- ProtectProc=inviżibbli - ħabi l-proċessi ta' nies oħra f'/proc.
- Utent= - ibiddel l-utent
Barra minn hekk, tista' tikkunsidra li tattiva s-settings li ġejjin:
- CapabilityBoundingSet=
- DevicePolicy=magħluq
- KeyringMode=privat
- LockPersonality=iva
- MemoryDenyWriteExecute=iva
- PrivateUsers=iva
- Neħħi IPC=iva
- RestrictAddressFamilies=
- RestrictNamespaces=iva
- RestrictRealtime=iva
- RestrictSUIDSGID=iva
- SystemCallFilter=
- SystemCallArchitectures=nattivi
Sors: opennet.ru