Publikimi i Fedora 40 sugjeron aktivizimin e cilësimeve të izolimit për shërbimet e sistemit systemd që janë aktivizuar si parazgjedhje, si dhe shërbime me aplikacione kritike për misionin si PostgreSQL, Apache httpd, Nginx dhe MariaDB. Pritet që ndryshimi të rrisë ndjeshëm sigurinë e shpërndarjes në konfigurimin e paracaktuar dhe të bëjë të mundur bllokimin e dobësive të panjohura në shërbimet e sistemit. Propozimi nuk është marrë ende në shqyrtim nga FESCo (Komiteti Drejtues i Inxhinierisë Fedora), i cili është përgjegjës për pjesën teknike të zhvillimit të shpërndarjes Fedora. Një propozim mund të refuzohet gjithashtu gjatë procesit të shqyrtimit të komunitetit.
Cilësimet e rekomanduara për të aktivizuar:
- PrivateTmp=po - sigurimi i drejtorive të veçanta me skedarë të përkohshëm.
- ProtectSystem=yes/plot/strict — montoni sistemin e skedarëve në modalitetin vetëm për lexim (në modalitetin "e plotë" - /etc/, në modalitetin strikte - të gjitha sistemet e skedarëve përveç /dev/, /proc/ dhe /sys/).
- ProtectHome=po—e mohon aksesin në drejtoritë kryesore të përdoruesit.
- PrivateDevices=po - duke e lënë aksesin vetëm te /dev/null, /dev/zero dhe /dev/random
- ProtectKernelTunables=po - qasje vetëm për lexim në /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etj.
- ProtectKernelModules=po - ndalon ngarkimin e moduleve të kernelit.
- ProtectKernelLogs=po - ndalon aksesin në buffer me regjistrat e kernelit.
- ProtectControlGroups=po - qasje vetëm për lexim në /sys/fs/cgroup/
- NoNewPrivileges=po - ndalimi i ngritjes së privilegjeve përmes flamujve setuid, setgid dhe aftësive.
- PrivateNetwork=po - vendosja në një hapësirë të veçantë emrash të grupit të rrjetit.
- ProtectClock=po—ndaloni ndryshimin e orës.
- ProtectHostname=po - ndalon ndryshimin e emrit të hostit.
- ProtectProc=i padukshëm - fshehja e proceseve të njerëzve të tjerë në /proc.
- Përdoruesi = - ndryshoni përdoruesin
Për më tepër, mund të konsideroni aktivizimin e cilësimeve të mëposhtme:
- CapabilityBoundingSet=
- DevicePolicy=mbyllur
- KeyringMode=private
- LockPersonality=po
- MemoryDenyWriteExecute=po
- Përdoruesit Private=po
- RemoveIPC=po
- RestrictAddressFamilies=
- RestrictNamespaces=po
- RestrictRealtime=po
- RestrictSUIDSGID=po
- SystemCallFilter=
- SystemCallArchitectures=amtare
Burimi: opennet.ru