ProHoster > Blog > warta internét > Fedora 40 ngarencanakeun pikeun ngaktipkeun isolasi jasa sistem

Fedora 40 ngarencanakeun pikeun ngaktipkeun isolasi jasa sistem

Pelepasan Fedora 40 nyarankeun ngaktipkeun setélan isolasi pikeun jasa sistem systemd anu diaktipkeun sacara standar, kitu ogé jasa sareng aplikasi kritis-misi sapertos PostgreSQL, Apache httpd, Nginx, sareng MariaDB. Diperkirakeun yén parobihan bakal sacara signifikan ningkatkeun kaamanan distribusi dina konfigurasi standar sareng bakal ngamungkinkeun pikeun meungpeuk kerentanan anu teu dipikanyaho dina jasa sistem. Proposalna henteu acan dianggap ku FESCo (Komite Steering Téknik Fedora), anu tanggung jawab kana bagian téknis tina pamekaran distribusi Fedora. Proposal ogé tiasa ditolak salami prosés tinjauan komunitas.

Setélan anu disarankeun pikeun ngaktipkeun:

  • PrivateTmp = enya - nyadiakeun diréktori misah sareng file samentara.
  • ProtectSystem=yes/full/strict — pasang sistem file dina modeu baca wungkul (dina mode “full” - /etc/, dina mode strict - sadaya sistem file iwal /dev/, /proc/ jeung /sys/).
  • ProtectHome=yes-nolak aksés ka diréktori imah pamaké.
  • PrivateDevices = enya - ngan ninggalkeun aksés ka / dev / null, / dev / enol jeung / dev / acak
  • ProtectKernelTunables = enya - aksés baca wungkul kana /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, jsb.
  • ProtectKernelModules = enya - ngalarang ngamuat modul kernel.
  • ProtectKernelLogs=enya - ngalarang aksés ka panyangga kalayan log kernel.
  • ProtectControlGroups = enya - aksés ngan ukur maca kana /sys/fs/cgroup/
  • NoNewPrivileges=enya - ngalarang élévasi hak husus ngaliwatan bendera setuid, setgid jeung kamampuhan.
  • PrivateNetwork = enya - panempatan dina spasi ngaran misah tina tumpukan jaringan.
  • ProtectClock=enya-nyaram ngarobah waktu.
  • ProtectHostname=enya - ngalarang ngaganti ngaran host.
  • ProtectProc=invisible - nyumputkeun prosés jalma séjén dina /proc.
  • Pamaké = - ngarobah pamaké

Salaku tambahan, anjeun tiasa mertimbangkeun ngaktipkeun setélan ieu:

  • CapabilityBoundingSet =
  • DevicePolicy=tutup
  • KeyringMode=swasta
  • LockPersonality = enya
  • MemoryDenyWriteExecute = enya
  • PrivateUsers=enya
  • RemoveIPC = enya
  • RestrictAddressFamilies=
  • RestrictNamespaces=enya
  • RestrictRealtime=enya
  • RestrictSUIDSGID=enya
  • SystemCallFilter=
  • SystemCallArchitectures = asli

sumber: opennet.ru

Tambahkeun komentar