ProHoster > Blog > wiadomości internetowe > Fedora 40 planuje włączyć izolację usług systemowych

Fedora 40 planuje włączyć izolację usług systemowych

Wydanie Fedory 40 sugeruje włączenie ustawień izolacji dla systemowych usług systemowych, które są domyślnie włączone, a także usług z aplikacjami o znaczeniu krytycznym, takimi jak PostgreSQL, Apache httpd, Nginx i MariaDB. Oczekuje się, że zmiana znacząco zwiększy bezpieczeństwo dystrybucji w domyślnej konfiguracji oraz umożliwi zablokowanie nieznanych podatności w usługach systemowych. Propozycja nie została jeszcze rozpatrzona przez FESCo (Komitet Sterujący ds. Inżynierii Fedory), który odpowiada za techniczną część rozwoju dystrybucji Fedory. Propozycja może również zostać odrzucona w procesie przeglądu społeczności.

Zalecane ustawienia umożliwiające włączenie:

  • PrivateTmp=yes - udostępnienie oddzielnych katalogów z plikami tymczasowymi.
  • ProtectSystem=yes/full/strict — montuje system plików w trybie tylko do odczytu (w trybie „pełnym” - /etc/, w trybie ścisłym - wszystkie systemy plików z wyjątkiem /dev/, /proc/ i /sys/).
  • ProtectHome=yes — blokuje dostęp do katalogów domowych użytkowników.
  • PrivateDevices=yes - pozostawianie dostępu tylko dla /dev/null, /dev/zero i /dev/random
  • ProtectKernelTunables=yes - dostęp tylko do odczytu do /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq itp.
  • ProtectKernelModules=yes - zabrania ładowania modułów jądra.
  • ProtectKernelLogs=yes - zabrania dostępu do bufora z logami jądra.
  • ProtectControlGroups=yes - dostęp tylko do odczytu do /sys/fs/cgroup/
  • NoNewPrivileges=yes - zakaz podnoszenia uprawnień poprzez flagi setuid, setgid i możliwości.
  • PrivateNetwork=yes - umieszczenie w osobnej przestrzeni nazw stosu sieciowego.
  • ProtectClock=yes — zabrania zmiany czasu.
  • ProtectHostname=yes - zabrania zmiany nazwy hosta.
  • ProtectProc=invisible - ukrywanie procesów innych osób w /proc.
  • Użytkownik= - zmień użytkownika

Dodatkowo możesz rozważyć włączenie następujących ustawień:

  • CapabilityBoundingSet=
  • DevicePolicy=zamknięte
  • KeyringMode=prywatny
  • Blokada osobowości=tak
  • MemoryDenyWriteExecute=tak
  • Użytkownicy Prywatni=tak
  • UsuńIPC=tak
  • Ogranicz rodziny adresów =
  • Ogranicz przestrzenie nazw=tak
  • Ogranicz czas rzeczywisty=tak
  • OgraniczSUIDSGID=tak
  • SystemCallFilter=
  • SystemCallArchitectures=native

Źródło: opennet.ru

Dodaj komentarz