ProHoster > Blog > internetnieuws > Fedora 40 is van plan systeemservice-isolatie mogelijk te maken

Fedora 40 is van plan systeemservice-isolatie mogelijk te maken

Fedora 40 stelt voor om isolatie-instellingen in te schakelen voor standaard systemd-services, evenals services met belangrijke applicaties zoals PostgreSQL, Apache httpd, Nginx en MariaDB. Deze wijziging zal naar verwachting de beveiliging van de distributie in de standaardconfiguratie aanzienlijk verbeteren en het mogelijk maken om onbekende kwetsbaarheden in systeemservices te blokkeren. Het voorstel is nog niet beoordeeld door de Fedora Engineering Steering Committee (FESCo), die verantwoordelijk is voor de technische ontwikkeling van de Fedora-distributie. Het voorstel kan ook worden afgewezen tijdens het beoordelingsproces door de community.

Aanbevolen instellingen om in te schakelen:

  • PrivateTmp=ja — aparte mappen met tijdelijke bestanden aanbieden.
  • ProtectSystem=yes/full/strict — koppel bestandssystemen in de alleen-lezen-modus (in de “volledige” modus — /etc/, in de strikte modus — alle bestandssystemen behalve /dev/, /proc/ en /sys/).
  • ProtectHome=ja — verbiedt toegang tot de thuismappen van gebruikers.
  • PrivateDevices=ja — alleen toegang tot /dev/null, /dev/zero en /dev/random
  • ProtectKernelTunables=ja — alleen-lezen toegang tot /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, enz.
  • ProtectKernelModules=ja — verbiedt het laden van kernelmodules.
  • ProtectKernelLogs=ja — verbiedt toegang tot de kernel-logbuffer.
  • ProtectControlGroups=ja - alleen-lezen toegang tot /sys/fs/cgroup/
  • NoNewPrivileges=yes — verbiedt privilege-escalatie via setuid-, setgid- en capabilities-vlaggen.
  • PrivateNetwork=ja — plaatsen in een aparte netwerkstapelnaamruimte.
  • ProtectClock=ja — verhindert het wijzigen van de tijd.
  • ProtectHostname=ja — verbiedt het wijzigen van de hostnaam.
  • ProtectProc=invisible — verbergt externe processen in /proc.
  • Gebruiker= — gebruiker wijzigen

Daarnaast kunnen de volgende instellingen overwogen worden:

  • Capaciteitsbegrenzingsset=
  • DevicePolicy=gesloten
  • KeyringMode=privé
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • PrivateUsers=ja
  • VerwijderIPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=ja
  • RestrictRealtime=ja
  • RestrictSUIDSGID=ja
  • SysteemCallFilter=
  • SystemCallArchitectures=native

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster