ProHoster > Blog > lajme në internet > Fedora 40 planifikon të mundësojë izolimin e shërbimit të sistemit

Fedora 40 planifikon të mundësojë izolimin e shërbimit të sistemit

Publikimi i Fedora 40 sugjeron aktivizimin e cilësimeve të izolimit për shërbimet e sistemit systemd që janë aktivizuar si parazgjedhje, si dhe shërbime me aplikacione kritike për misionin si PostgreSQL, Apache httpd, Nginx dhe MariaDB. Pritet që ndryshimi të rrisë ndjeshëm sigurinë e shpërndarjes në konfigurimin e paracaktuar dhe të bëjë të mundur bllokimin e dobësive të panjohura në shërbimet e sistemit. Propozimi nuk është marrë ende në shqyrtim nga FESCo (Komiteti Drejtues i Inxhinierisë Fedora), i cili është përgjegjës për pjesën teknike të zhvillimit të shpërndarjes Fedora. Një propozim mund të refuzohet gjithashtu gjatë procesit të shqyrtimit të komunitetit.

Cilësimet e rekomanduara për të aktivizuar:

  • PrivateTmp=po - sigurimi i drejtorive të veçanta me skedarë të përkohshëm.
  • ProtectSystem=yes/plot/strict — montoni sistemin e skedarëve në modalitetin vetëm për lexim (në modalitetin "e plotë" - /etc/, në modalitetin strikte - të gjitha sistemet e skedarëve përveç /dev/, /proc/ dhe /sys/).
  • ProtectHome=po—e mohon aksesin në drejtoritë kryesore të përdoruesit.
  • PrivateDevices=po - duke e lënë aksesin vetëm te /dev/null, /dev/zero dhe /dev/random
  • ProtectKernelTunables=po - qasje vetëm për lexim në /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etj.
  • ProtectKernelModules=po - ndalon ngarkimin e moduleve të kernelit.
  • ProtectKernelLogs=po - ndalon aksesin në buffer me regjistrat e kernelit.
  • ProtectControlGroups=po - qasje vetëm për lexim në /sys/fs/cgroup/
  • NoNewPrivileges=po - ndalimi i ngritjes së privilegjeve përmes flamujve setuid, setgid dhe aftësive.
  • PrivateNetwork=po - vendosja në një hapësirë ​​të veçantë emrash të grupit të rrjetit.
  • ProtectClock=po—ndaloni ndryshimin e orës.
  • ProtectHostname=po - ndalon ndryshimin e emrit të hostit.
  • ProtectProc=i padukshëm - fshehja e proceseve të njerëzve të tjerë në /proc.
  • Përdoruesi = - ndryshoni përdoruesin

Për më tepër, mund të konsideroni aktivizimin e cilësimeve të mëposhtme:

  • CapabilityBoundingSet=
  • DevicePolicy=mbyllur
  • KeyringMode=private
  • LockPersonality=po
  • MemoryDenyWriteExecute=po
  • Përdoruesit Private=po
  • RemoveIPC=po
  • RestrictAddressFamilies=
  • RestrictNamespaces=po
  • RestrictRealtime=po
  • RestrictSUIDSGID=po
  • SystemCallFilter=
  • SystemCallArchitectures=amtare

Burimi: opennet.ru

Shto një koment