ProHoster > blogg > internetnyheter > Fedora 40 planerar att möjliggöra isolering av systemtjänster

Fedora 40 planerar att möjliggöra isolering av systemtjänster

Fedora 40-utgåvan föreslår att man aktiverar isoleringsinställningar för systemtjänster som är aktiverade som standard, såväl som tjänster med verksamhetskritiska applikationer som PostgreSQL, Apache httpd, Nginx och MariaDB. Det förväntas att förändringen avsevärt kommer att öka säkerheten för distributionen i standardkonfigurationen och kommer att göra det möjligt att blockera okända sårbarheter i systemtjänster. Förslaget har ännu inte behandlats av FESCo (Fedora Engineering Steering Committee), som är ansvarig för den tekniska delen av utvecklingen av Fedora-distributionen. Ett förslag kan också avvisas under samhällsgranskningen.

Rekommenderade inställningar för att aktivera:

  • PrivateTmp=ja - tillhandahåller separata kataloger med temporära filer.
  • ProtectSystem=yes/full/strict — montera filsystemet i skrivskyddat läge (i "fullständigt" läge - /etc/, i strikt läge - alla filsystem utom /dev/, /proc/ och /sys/).
  • ProtectHome=ja – nekar åtkomst till användarens hemkataloger.
  • PrivateDevices=ja - lämnar endast åtkomst till /dev/null, /dev/zero och /dev/random
  • ProtectKernelTunables=ja - skrivskyddad åtkomst till /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, etc.
  • ProtectKernelModules=ja - förbjud att ladda kärnmoduler.
  • ProtectKernelLogs=ja - förbjuder åtkomst till bufferten med kärnloggar.
  • ProtectControlGroups=ja - skrivskyddad åtkomst till /sys/fs/cgroup/
  • NoNewPrivileges=ja - förbjuder höjning av privilegier genom flaggorna setuid, setgid och capabilities.
  • PrivateNetwork=ja - placering i ett separat namnområde för nätverksstacken.
  • ProtectClock=ja—förbjud att ändra tiden.
  • ProtectHostname=ja - förbjuder att ändra värdnamnet.
  • ProtectProc=osynlig - döljer andras processer i /proc.
  • User= - ändra användare

Dessutom kan du överväga att aktivera följande inställningar:

  • CapabilityBoundingSet=
  • DevicePolicy=stängd
  • KeyringMode=privat
  • LockPersonality=ja
  • MemoryDenyWriteExecute=ja
  • PrivateUsers=ja
  • RemoveIPC=ja
  • RestrictAddressFamilies=
  • RestrictNamespaces=ja
  • RestrictRealtime=ja
  • RestrictSUIDSGID=ja
  • SystemCallFilter=
  • SystemCallArchitectures=native

Källa: opennet.ru

Lägg en kommentar