ProHoster > Блог > Новини інтернету > У Fedora 40 планують увімкнути ізоляцію системних сервісів

У Fedora 40 планують увімкнути ізоляцію системних сервісів

У випуску Fedora 40 запропоновано включити налаштування ізоляції для системних сервісів systemd, що включаються за замовчуванням, а також сервісів з важливими додатками, такими як PostgreSQL, Apache httpd, Nginx і MariaDB. Передбачається, що зміна дозволить значно підвищити захищеність дистрибутива у конфігурації за замовчуванням і дозволить блокувати невідомі вразливості у системних сервісах. Пропозиція поки не розглянута комітетом FESCo (Fedora Engineering Steering Committee), який відповідає за технічну частину розробки дистрибутива Fedora. Пропозиція також може бути відхилена у процесі рецензування спільнотою.

Рекомендовані для увімкнення налаштування:

  • PrivateTmp=yes — надання окремих директорій із тимчасовими файлами.
  • ProtectSystem=yes/full/strict — монтування ФС у режимі лише читання (у режимі «full» — /etc/, як strict — всіх ФС, крім /dev/, /proc/ і /sys/).
  • ProtectHome=yes – заборона доступу до домашніх каталогів користувачів.
  • PrivateDevices=yes — залишення доступу лише до /dev/null, /dev/zero та /dev/random
  • ProtectKernelTunables=yes — доступ лише в режимі читання /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq тощо.
  • ProtectKernelModules=yes – заборона завантаження модулів ядра.
  • ProtectKernelLogs=yes – заборона доступу до буфера з логами ядра.
  • ProtectControlGroups=yes — доступ лише у режимі читання до /sys/fs/cgroup/
  • NoNewPrivileges=yes — заборона підвищення привілеїв через прапори setuid, setgid та capabilities.
  • PrivateNetwork=yes — розміщення в окремому просторі імен мережевого стека.
  • ProtectClock=yes – заборона зміни часу.
  • ProtectHostname=yes – заборона зміни імені хоста.
  • ProtectProc = invisible - приховування чужих процесів /proc.
  • User= — зміна користувача

Додатково можна розглянути включення налаштувань:

  • CapabilityBoundingSet=
  • DevicePolicy=closed
  • KeyringMode=private
  • LockPersonality=yes
  • MemoryDenyWriteExecute=yes
  • PrivateUsers=yes
  • RemoveIPC=yes
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=yes
  • SystemCallFilter=
  • SystemCallArchitectures=native

Джерело: opennet.ru

Додати коментар або відгук