ПроХостер > блог > интернет вести > Федора 40 планира да омогући изолацију системских услуга

Федора 40 планира да омогући изолацију системских услуга

Федора 40 издање предлаже омогућавање поставки изолације за системске системске услуге које су подразумевано омогућене, као и услуге са критичним апликацијама као што су ПостгреСКЛ, Апацхе хттпд, Нгинк и МариаДБ. Очекује се да ће промена значајно повећати безбедност дистрибуције у подразумеваној конфигурацији и омогућити блокирање непознатих рањивости у системским услугама. Предлог још није разматран од стране ФЕСЦо-а (Федора Енгинееринг Стееринг Цоммиттее), који је одговоран за технички део развоја Федора дистрибуције. Предлог такође може бити одбијен током процеса ревизије заједнице.

Препоручена подешавања за омогућавање:

  • ПриватеТмп=иес - пружање засебних директоријума са привременим датотекама.
  • ПротецтСистем=иес/фулл/стрицт — монтирајте систем датотека у режиму само за читање (у „пуном“ режиму - /етц/, у строгом режиму - сви системи датотека осим /дев/, /проц/ и /сис/).
  • ПротецтХоме=иес—забрањује приступ корисничким кућним директоријумима.
  • ПриватеДевицес=иес - оставља приступ само за /дев/нулл, /дев/зеро и /дев/рандом
  • ПротецтКернелТунаблес=иес - приступ само за читање /проц/сис/, /сис/, /проц/ацпи, /проц/фс, /проц/ирк, итд.
  • ПротецтКернелМодулес=иес - забрани учитавање модула кернела.
  • ПротецтКернелЛогс=иес - забрањује приступ баферу са евиденцијама кернела.
  • ПротецтЦонтролГроупс=иес - приступ само за читање /сис/фс/цгроуп/
  • НоНевПривилегес=иес - забрана подизања привилегија путем заставица сетуид, сетгид и цапабилитиес.
  • ПриватеНетворк=иес - постављање у посебан простор имена мрежног стека.
  • ПротецтЦлоцк=иес—забрана промене времена.
  • ПротецтХостнаме=иес - забрањује промену имена хоста.
  • ПротецтПроц=невидљив - сакривање процеса других људи у /проц.
  • Усер= - промени корисника

Поред тога, размислите о омогућавању следећих подешавања:

  • ЦапабилитиБоундингСет=
  • ДевицеПолици=затворено
  • КеирингМоде=приватно
  • ЛоцкПерсоналити=да
  • МемориДениВритеЕкецуте=иес
  • ПриватеУсерс=да
  • РемовеИПЦ=да
  • РестрицтАддрессФамилиес=
  • РестрицтНамеспацес=иес
  • РестрицтРеалтиме=иес
  • РестрицтСУИДСГИД=да
  • СистемЦаллФилтер=
  • СистемЦаллАрцхитецтурес=нативе

Извор: опеннет.ру

Додај коментар