A versão Fedora 40 sugere habilitar configurações de isolamento para serviços do sistema systemd que são habilitados por padrão, bem como serviços com aplicativos críticos como PostgreSQL, Apache httpd, Nginx e MariaDB. Espera-se que a mudança aumente significativamente a segurança da distribuição na configuração padrão e possibilite o bloqueio de vulnerabilidades desconhecidas nos serviços do sistema. A proposta ainda não foi considerada pelo FESCo (Fedora Engineering Steering Committee), responsável pela parte técnica do desenvolvimento da distribuição Fedora. Uma proposta também pode ser rejeitada durante o processo de revisão da comunidade.
Configurações recomendadas para ativar:
- PrivateTmp=yes – fornecendo diretórios separados com arquivos temporários.
- ProtectSystem=yes/full/strict — monta o sistema de arquivos em modo somente leitura (em modo “completo” - /etc/, em modo estrito - todos os sistemas de arquivos exceto /dev/, /proc/ e /sys/).
- ProtectHome=yes — nega acesso aos diretórios iniciais do usuário.
- PrivateDevices=yes - deixando acesso apenas a /dev/null, /dev/zero e /dev/random
- ProtectKernelTunables=yes - acesso somente leitura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
- ProtectKernelModules=yes – proíbe o carregamento de módulos do kernel.
- ProtectKernelLogs=yes – proíbe o acesso ao buffer com logs do kernel.
- ProtectControlGroups=yes - acesso somente leitura a /sys/fs/cgroup/
- NoNewPrivileges=yes - proibindo a elevação de privilégios através dos sinalizadores setuid, setgid e capacidades.
- PrivateNetwork=yes – posicionamento em um namespace separado da pilha de rede.
- ProtectClock=yes — proíbe a alteração da hora.
- ProtectHostname=yes – proíbe a alteração do nome do host.
- ProtectProc=invisible – ocultando processos de outras pessoas em /proc.
- Usuário= - alterar usuário
Além disso, você pode considerar ativar as seguintes configurações:
- CapacidadeBoundingSet=
- DevicePolicy=fechado
- KeyringMode=privado
- LockPersonality = sim
- MemoryDenyWriteExecute = sim
- Usuários Privados = sim
- RemoverIPC=sim
- RestrictAddressFamilies=
- RestrictNamespaces=sim
- RestrictRealtime = sim
- RestringirSUIDSGID=sim
- SystemCallFilter =
- SystemCallArchitectures=nativo
Fonte: opennet.ru