ProHoster > Blog > internetové správy > Fedora 40 plánuje povoliť izoláciu systémových služieb

Fedora 40 plánuje povoliť izoláciu systémových služieb

Vydanie Fedory 40 navrhuje povoliť nastavenia izolácie pre systémové služby, ktoré sú štandardne povolené, ako aj služby s kritickými aplikáciami, ako sú PostgreSQL, Apache httpd, Nginx a MariaDB. Očakáva sa, že zmena výrazne zvýši bezpečnosť distribúcie v predvolenej konfigurácii a umožní blokovať neznáme zraniteľnosti v systémových službách. Návrh ešte nebol posúdený FESCo (Fedora Engineering Steering Committee), ktorý je zodpovedný za technickú časť vývoja distribúcie Fedora. Návrh môže byť zamietnutý aj počas procesu kontroly komunity.

Odporúčané nastavenia na povolenie:

  • PrivateTmp=yes - poskytovanie samostatných adresárov s dočasnými súbormi.
  • ProtectSystem=yes/full/strict — pripojte súborový systém v režime len na čítanie (v režime „plný“ - /etc/, v prísnom režime - všetky systémy súborov okrem /dev/, /proc/ a /sys/).
  • ProtectHome=áno—zakáže prístup k domovským adresárom používateľov.
  • PrivateDevices=yes - ponecháva prístup len k /dev/null, /dev/zero a /dev/random
  • ProtectKernelTunables=yes – prístup len na čítanie do /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq atď.
  • ProtectKernelModules=yes - zakáže načítanie modulov jadra.
  • ProtectKernelLogs=yes - zakáže prístup do vyrovnávacej pamäte s protokolmi jadra.
  • ProtectControlGroups=yes - prístup len na čítanie do /sys/fs/cgroup/
  • NoNewPrivileges=yes - zákaz zvyšovania privilégií cez príznaky setuid, setgid a schopnosti.
  • PrivateNetwork=yes - umiestnenie v samostatnom mennom priestore sieťového zásobníka.
  • ProtectClock=yes—zakázať zmenu času.
  • ProtectHostname=yes - zakáže zmenu názvu hostiteľa.
  • ProtectProc=invisible - skrytie procesov iných ľudí v /proc.
  • User= - zmena užívateľa

Okrem toho môžete zvážiť povolenie nasledujúcich nastavení:

  • CapabilityBoundingSet=
  • DevicePolicy=zatvorené
  • KeyringMode=súkromný
  • LockPersonality=áno
  • MemoryDenyWriteExecute=áno
  • PrivateUsers=áno
  • RemoveIPC=áno
  • RestrictAddressFamilies=
  • RestrictNamespaces=áno
  • RestrictRealtime=áno
  • RestrictSUIDSGID=áno
  • SystemCallFilter=
  • SystemCallArchitectures=native

Zdroj: opennet.ru

Pridať komentár