ProHoster > Blog > notícias da internet > Fedora 40 planeja habilitar isolamento de serviços do sistema

Fedora 40 planeja habilitar isolamento de serviços do sistema

A versão Fedora 40 sugere habilitar configurações de isolamento para serviços do sistema systemd que são habilitados por padrão, bem como serviços com aplicativos críticos como PostgreSQL, Apache httpd, Nginx e MariaDB. Espera-se que a mudança aumente significativamente a segurança da distribuição na configuração padrão e possibilite o bloqueio de vulnerabilidades desconhecidas nos serviços do sistema. A proposta ainda não foi considerada pelo FESCo (Fedora Engineering Steering Committee), responsável pela parte técnica do desenvolvimento da distribuição Fedora. Uma proposta também pode ser rejeitada durante o processo de revisão da comunidade.

Configurações recomendadas para ativar:

  • PrivateTmp=yes – fornecendo diretórios separados com arquivos temporários.
  • ProtectSystem=yes/full/strict — monta o sistema de arquivos em modo somente leitura (em modo “completo” - /etc/, em modo estrito - todos os sistemas de arquivos exceto /dev/, /proc/ e /sys/).
  • ProtectHome=yes — nega acesso aos diretórios iniciais do usuário.
  • PrivateDevices=yes - deixando acesso apenas a /dev/null, /dev/zero e /dev/random
  • ProtectKernelTunables=yes - acesso somente leitura a /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=yes – proíbe o carregamento de módulos do kernel.
  • ProtectKernelLogs=yes – proíbe o acesso ao buffer com logs do kernel.
  • ProtectControlGroups=yes - acesso somente leitura a /sys/fs/cgroup/
  • NoNewPrivileges=yes - proibindo a elevação de privilégios através dos sinalizadores setuid, setgid e capacidades.
  • PrivateNetwork=yes – posicionamento em um namespace separado da pilha de rede.
  • ProtectClock=yes — proíbe a alteração da hora.
  • ProtectHostname=yes – proíbe a alteração do nome do host.
  • ProtectProc=invisible – ocultando processos de outras pessoas em /proc.
  • Usuário= - alterar usuário

Além disso, você pode considerar ativar as seguintes configurações:

  • CapacidadeBoundingSet=
  • DevicePolicy=fechado
  • KeyringMode=privado
  • LockPersonality = sim
  • MemoryDenyWriteExecute = sim
  • Usuários Privados = sim
  • RemoverIPC=sim
  • RestrictAddressFamilies=
  • RestrictNamespaces=sim
  • RestrictRealtime = sim
  • RestringirSUIDSGID=sim
  • SystemCallFilter =
  • SystemCallArchitectures=nativo

Fonte: opennet.ru

Adicionar um comentário