ProHoster > Log > Internett-nyheter > Fedora 40 planlegger å aktivere systemtjenesteisolering

Fedora 40 planlegger å aktivere systemtjenesteisolering

Fedora 40-utgivelsen foreslår å aktivere isolasjonsinnstillinger for systemtjenester som er aktivert som standard, samt tjenester med oppdragskritiske applikasjoner som PostgreSQL, Apache httpd, Nginx og MariaDB. Det forventes at endringen vil øke sikkerheten til distribusjonen betydelig i standardkonfigurasjonen og vil gjøre det mulig å blokkere ukjente sårbarheter i systemtjenester. Forslaget er ennå ikke behandlet av FESCo (Fedora Engineering Steering Committee), som er ansvarlig for den tekniske delen av utviklingen av Fedora-distribusjonen. Et forslag kan også bli avvist under samfunnsvurderingsprosessen.

Anbefalte innstillinger for å aktivere:

  • PrivateTmp=ja - gir separate kataloger med midlertidige filer.
  • ProtectSystem=yes/full/strict — monter filsystemet i skrivebeskyttet modus (i "full" modus - /etc/, i streng modus - alle filsystemer unntatt /dev/, /proc/ og /sys/).
  • ProtectHome=ja – nekter tilgang til brukerens hjemmekataloger.
  • PrivateDevices=ja - gir kun tilgang til /dev/null, /dev/zero og /dev/random
  • ProtectKernelTunables=ja - skrivebeskyttet tilgang til /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=ja - forby lasting av kjernemoduler.
  • ProtectKernelLogs=ja - forbyr tilgang til bufferen med kjernelogger.
  • ProtectControlGroups=ja - skrivebeskyttet tilgang til /sys/fs/cgroup/
  • NoNewPrivileges=ja - forbyr heving av privilegier gjennom flaggene setuid, setgid og capabilities.
  • PrivateNetwork=ja - plassering i et eget navneområde for nettverksstakken.
  • ProtectClock=ja – forby å endre tiden.
  • ProtectHostname=ja - forbyr endring av vertsnavn.
  • ProtectProc=usynlig - skjuler andres prosesser i /proc.
  • Bruker= - endre bruker

I tillegg kan du vurdere å aktivere følgende innstillinger:

  • CapabilityBoundingSet=
  • DevicePolicy=stengt
  • KeyringMode=privat
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • PrivateUsers=ja
  • RemoveIPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=ja
  • RestrictRealtime=ja
  • RestrictSUIDSGID=ja
  • SystemCallFilter=
  • SystemCallArchitectures=native

Kilde: opennet.ru

Legg til en kommentar