ProHoster > blog > aħbarijiet fuq l-internet > Fedora 40 qed tippjana li tippermetti l-iżolament tas-servizz tas-sistema

Fedora 40 qed tippjana li tippermetti l-iżolament tas-servizz tas-sistema

Ir-rilaxx ta 'Fedora 40 jissuġġerixxi l-abilitazzjoni ta' settings ta 'iżolament għal servizzi tas-sistema systemd li huma attivati ​​awtomatikament, kif ukoll servizzi b'applikazzjonijiet kritiċi għall-missjoni bħal PostgreSQL, Apache httpd, Nginx u MariaDB. Huwa mistenni li l-bidla żżid b'mod sinifikanti s-sigurtà tad-distribuzzjoni fil-konfigurazzjoni default u tagħmilha possibbli li jiġu mblukkati vulnerabbiltajiet mhux magħrufa fis-servizzi tas-sistema. Il-proposta għadha ma ġietx ikkunsidrata mill-FESCo (Fedora Engineering Steering Committee), li huwa responsabbli għall-parti teknika tal-iżvilupp tad-distribuzzjoni Fedora. Proposta tista' wkoll tiġi miċħuda matul il-proċess ta' reviżjoni tal-komunità.

Settings rakkomandati biex jippermettu:

  • PrivateTmp=iva - jipprovdu direttorji separati b'fajls temporanji.
  • ProtectSystem=yes/full/strict — mmunta s-sistema tal-fajls fil-modalità ta' qari biss (fil-modalità “sħiħa” - /etc/, fil-modalità stretta - is-sistemi tal-fajls kollha ħlief /dev/, /proc/ u /sys/).
  • ProtectHome=iva—jiċħad l-aċċess għad-direttorji tad-dar tal-utenti.
  • PrivateDevices=iva - tħalli aċċess biss għal /dev/null, /dev/zero u /dev/random
  • ProtectKernelTunables=iva - aċċess għall-qari biss għal /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, eċċ.
  • ProtectKernelModules=iva - tipprojbixxi t-tagħbija tal-moduli tal-kernel.
  • ProtectKernelLogs=iva - jipprojbixxi l-aċċess għall-buffer bi zkuk tal-kernel.
  • ProtectControlGroups=iva - aċċess għall-qari biss għal /sys/fs/cgroup/
  • NoNewPrivileges=iva - tipprojbixxi l-elevazzjoni tal-privileġġi permezz tal-bnadar setuid, setgid u kapaċitajiet.
  • PrivateNetwork=iva - tqegħid fi spazju tal-isem separat tal-munzell tan-netwerk.
  • ProtectClock=iva—ipprojbixxi t-tibdil tal-ħin.
  • ProtectHostname=iva - jipprojbixxi l-bidla tal-isem tal-host.
  • ProtectProc=inviżibbli - ħabi l-proċessi ta' nies oħra f'/proc.
  • Utent= - ibiddel l-utent

Barra minn hekk, tista' tikkunsidra li tattiva s-settings li ġejjin:

  • CapabilityBoundingSet=
  • DevicePolicy=magħluq
  • KeyringMode=privat
  • LockPersonality=iva
  • MemoryDenyWriteExecute=iva
  • PrivateUsers=iva
  • Neħħi IPC=iva
  • RestrictAddressFamilies=
  • RestrictNamespaces=iva
  • RestrictRealtime=iva
  • RestrictSUIDSGID=iva
  • SystemCallFilter=
  • SystemCallArchitectures=nattivi

Sors: opennet.ru

Żid kumment