ProHoster > Blog > balita sa internet > Plano ng Fedora 40 na paganahin ang paghihiwalay ng serbisyo ng system

Plano ng Fedora 40 na paganahin ang paghihiwalay ng serbisyo ng system

Ang paglabas ng Fedora 40 ay nagmumungkahi ng pagpapagana ng mga setting ng paghihiwalay para sa mga serbisyo ng systemd system na pinagana bilang default, pati na rin ang mga serbisyo na may mga application na kritikal sa misyon tulad ng PostgreSQL, Apache httpd, Nginx, at MariaDB. Inaasahan na ang pagbabago ay makabuluhang magpapataas ng seguridad ng pamamahagi sa default na pagsasaayos at gagawing posible na harangan ang hindi kilalang mga kahinaan sa mga serbisyo ng system. Ang panukala ay hindi pa isinasaalang-alang ng FESCo (Fedora Engineering Steering Committee), na responsable para sa teknikal na bahagi ng pag-unlad ng pamamahagi ng Fedora. Ang isang panukala ay maaari ding tanggihan sa panahon ng proseso ng pagsusuri sa komunidad.

Mga inirerekomendang setting para paganahin:

  • PrivateTmp=yes - pagbibigay ng hiwalay na mga direktoryo na may mga pansamantalang file.
  • ProtectSystem=yes/full/strict β€” i-mount ang file system sa read-only mode (sa β€œfull” mode - /etc/, sa strict mode - lahat ng file system maliban sa /dev/, /proc/ at /sys/).
  • ProtectHome=yesβ€”tinanggihan ang access sa mga direktoryo ng home ng user.
  • PrivateDevices=oo - nag-iiwan lamang ng access sa /dev/null, /dev/zero at /dev/random
  • ProtectKernelTunables=yes - read-only na access sa /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, atbp.
  • ProtectKernelModules=oo - ipagbawal ang pag-load ng mga kernel module.
  • ProtectKernelLogs=yes - ipinagbabawal ang pag-access sa buffer na may mga kernel log.
  • ProtectControlGroups=yes - read-only na access sa /sys/fs/cgroup/
  • NoNewPrivileges=yes - ipinagbabawal ang pagtataas ng mga pribilehiyo sa pamamagitan ng setuid, setgid at capabilities flags.
  • PrivateNetwork=yes - paglalagay sa isang hiwalay na namespace ng network stack.
  • ProtectClock=yesβ€”ipagbawal ang pagbabago ng oras.
  • ProtectHostname=yes - ipinagbabawal ang pagpapalit ng pangalan ng host.
  • ProtectProc=invisible - pagtatago ng mga proseso ng ibang tao sa /proc.
  • User= - palitan ang user

Bilang karagdagan, maaari mong isaalang-alang ang paganahin ang mga sumusunod na setting:

  • CapabilityBoundingSet=
  • DevicePolicy=sarado
  • KeyringMode=pribado
  • LockPersonality=oo
  • MemoryDenyWriteExecute=oo
  • PrivateUsers=oo
  • RemoveIPC=oo
  • RestrictAddressFamilies=
  • RestrictNamespaces=oo
  • RestrictRealtime=oo
  • RestrictSUIDSGID=oo
  • SystemCallFilter=
  • SystemCallArchitectures=native

Pinagmulan: opennet.ru

Magdagdag ng komento