Wydanie Fedory 40 sugeruje włączenie ustawień izolacji dla systemowych usług systemowych, które są domyślnie włączone, a także usług z aplikacjami o znaczeniu krytycznym, takimi jak PostgreSQL, Apache httpd, Nginx i MariaDB. Oczekuje się, że zmiana znacząco zwiększy bezpieczeństwo dystrybucji w domyślnej konfiguracji oraz umożliwi zablokowanie nieznanych podatności w usługach systemowych. Propozycja nie została jeszcze rozpatrzona przez FESCo (Komitet Sterujący ds. Inżynierii Fedory), który odpowiada za techniczną część rozwoju dystrybucji Fedory. Propozycja może również zostać odrzucona w procesie przeglądu społeczności.
Zalecane ustawienia umożliwiające włączenie:
- PrivateTmp=yes - udostępnienie oddzielnych katalogów z plikami tymczasowymi.
- ProtectSystem=yes/full/strict — montuje system plików w trybie tylko do odczytu (w trybie „pełnym” - /etc/, w trybie ścisłym - wszystkie systemy plików z wyjątkiem /dev/, /proc/ i /sys/).
- ProtectHome=yes — blokuje dostęp do katalogów domowych użytkowników.
- PrivateDevices=yes - pozostawianie dostępu tylko dla /dev/null, /dev/zero i /dev/random
- ProtectKernelTunables=yes - dostęp tylko do odczytu do /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq itp.
- ProtectKernelModules=yes - zabrania ładowania modułów jądra.
- ProtectKernelLogs=yes - zabrania dostępu do bufora z logami jądra.
- ProtectControlGroups=yes - dostęp tylko do odczytu do /sys/fs/cgroup/
- NoNewPrivileges=yes - zakaz podnoszenia uprawnień poprzez flagi setuid, setgid i możliwości.
- PrivateNetwork=yes - umieszczenie w osobnej przestrzeni nazw stosu sieciowego.
- ProtectClock=yes — zabrania zmiany czasu.
- ProtectHostname=yes - zabrania zmiany nazwy hosta.
- ProtectProc=invisible - ukrywanie procesów innych osób w /proc.
- Użytkownik= - zmień użytkownika
Dodatkowo możesz rozważyć włączenie następujących ustawień:
- CapabilityBoundingSet=
- DevicePolicy=zamknięte
- KeyringMode=prywatny
- Blokada osobowości=tak
- MemoryDenyWriteExecute=tak
- Użytkownicy Prywatni=tak
- UsuńIPC=tak
- Ogranicz rodziny adresów =
- Ogranicz przestrzenie nazw=tak
- Ogranicz czas rzeczywisty=tak
- OgraniczSUIDSGID=tak
- SystemCallFilter=
- SystemCallArchitectures=native
Źródło: opennet.ru