ProHoster > blog > internetnieuws > Fedora 40 is van plan systeemservice-isolatie mogelijk te maken

Fedora 40 is van plan systeemservice-isolatie mogelijk te maken

De Fedora 40 uitgave suggereert het inschakelen van isolatie-instellingen voor systeemsysteemdiensten die standaard ingeschakeld zijn, evenals diensten met kritische toepassingen zoals PostgreSQL, Apache httpd, Nginx en MariaDB. Verwacht wordt dat de wijziging de veiligheid van de distributie in de standaardconfiguratie aanzienlijk zal vergroten en het mogelijk zal maken onbekende kwetsbaarheden in systeemdiensten te blokkeren. Het voorstel is nog niet in overweging genomen door de FESCo (Fedora Engineering Steering Committee), die verantwoordelijk is voor het technische deel van de ontwikkeling van de Fedora-distributie. Een voorstel kan ook worden afgewezen tijdens het gemeenschapsbeoordelingsproces.

Aanbevolen instellingen om in te schakelen:

  • PrivateTmp=yes - voorziet in aparte mappen met tijdelijke bestanden.
  • ProtectSystem=yes/full/strict — mount het bestandssysteem in alleen-lezen modus (in “volledige” modus - /etc/, in strikte modus - alle bestandssystemen behalve /dev/, /proc/ en /sys/).
  • ProtectHome=ja: weigert toegang tot de thuismappen van gebruikers.
  • PrivateDevices=yes - laat alleen toegang tot /dev/null, /dev/zero en /dev/random
  • ProtectKernelTunables=yes - alleen-lezen toegang tot /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=ja - verbied het laden van kernelmodules.
  • ProtectKernelLogs=ja - verbiedt toegang tot de buffer met kernellogboeken.
  • ProtectControlGroups=yes - alleen-lezen toegang tot /sys/fs/cgroup/
  • NoNewPrivileges=yes - verbiedt uitbreiding van bevoegdheden via de vlaggen setuid, setgid en mogelijkheden.
  • PrivateNetwork=yes - plaatsing in een aparte naamruimte van de netwerkstack.
  • ProtectClock=ja: verbied het wijzigen van de tijd.
  • ProtectHostname=yes - verbiedt het wijzigen van de hostnaam.
  • ProtectProc=onzichtbaar - de processen van anderen verbergen in /proc.
  • Gebruiker= - gebruiker wijzigen

Daarnaast kunt u overwegen de volgende instellingen in te schakelen:

  • MogelijkheidBoundingSet=
  • Apparaatbeleid=gesloten
  • KeyringMode=privé
  • Vergrendelpersoonlijkheid=ja
  • MemoryDenyWriteExecute=ja
  • Privégebruikers=ja
  • IPC verwijderen=ja
  • RestrictAddressFamilies=
  • BeperkNaamruimten=ja
  • BeperkRealtime=ja
  • BeperkSUIDSGID=ja
  • SysteemOproepFilter=
  • SystemCallArchitectures=natief

Bron: opennet.ru

Voeg een reactie