ProHoster > Blog > internet haberleri > Fedora 40, sistem hizmeti izolasyonunu etkinleştirmeyi planlıyor

Fedora 40, sistem hizmeti izolasyonunu etkinleştirmeyi planlıyor

Fedora 40 sürümü, varsayılan olarak etkin olan sistem ve sistem hizmetlerinin yanı sıra PostgreSQL, Apache httpd, Nginx ve MariaDB gibi kritik uygulamalara sahip hizmetler için izolasyon ayarlarının etkinleştirilmesini önerir. Değişikliğin, varsayılan konfigürasyondaki dağıtımın güvenliğini önemli ölçüde artırması ve sistem hizmetlerinde bilinmeyen güvenlik açıklarının engellenmesini mümkün kılması bekleniyor. Teklif, Fedora dağıtımının geliştirilmesinin teknik kısmından sorumlu olan FESCo (Fedora Mühendislik Yönlendirme Komitesi) tarafından henüz değerlendirilmedi. Bir teklif, topluluk inceleme sürecinde de reddedilebilir.

Etkinleştirmek için önerilen ayarlar:

  • PrivateTmp=yes - geçici dosyalar içeren ayrı dizinler sağlar.
  • KorumaSystem=yes/full/strict — dosya sistemini salt okunur modda bağlayın ("tam" modda - /etc/, katı modda - /dev/, /proc/ ve /sys/ dışındaki tüm dosya sistemleri).
  • KorumaHome=yes—kullanıcı ana dizinlerine erişimi reddeder.
  • PrivateDevices=yes - yalnızca /dev/null, /dev/zero ve /dev/random'a erişim bırakılır
  • KorumaKernelTunables=yes - /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, vb.'ye salt okunur erişim.
  • KorumaKernelModules=yes - çekirdek modüllerinin yüklenmesini yasaklar.
  • KorumaKernelLogs=yes - çekirdek günlüklerinin bulunduğu ara belleğe erişimi engeller.
  • ProtectControlGroups=yes - /sys/fs/cgroup/'a salt okunur erişim
  • NoNewPrivileges=yes - setuid, setgid ve yetenek bayrakları aracılığıyla ayrıcalıkların yükseltilmesini yasaklıyor.
  • PrivateNetwork=yes - ağ yığınının ayrı bir ad alanına yerleştirme.
  • Koruma Saati=evet—zamanın değiştirilmesini yasakla.
  • KorumaHostadı=yes - ana bilgisayar adının değiştirilmesini yasaklar.
  • KorumaProc=görünmez - /proc'ta diğer kişilerin işlemlerini gizlemek.
  • Kullanıcı= - kullanıcıyı değiştir

Ayrıca aşağıdaki ayarları etkinleştirmeyi düşünebilirsiniz:

  • YetenekBoundingSet=
  • DevicePolicy=kapalı
  • KeyringMode=özel
  • KilitKişilik=evet
  • MemoryDenyWriteExecute=evet
  • Özel Kullanıcılar=evet
  • IPC'yi kaldır=evet
  • RestrictAddressFamilies=
  • RestrictNamespaces=evet
  • RestrictRealtime=evet
  • KısıtlamaSUIDSGID=evet
  • Sistem Çağrısı Filtresi=
  • SystemCallArchitectures=yerel

Kaynak: opennet.ru

Yorum ekle