У випуску Fedora 40 запропоновано включити налаштування ізоляції для системних сервісів systemd, що включаються за замовчуванням, а також сервісів з важливими додатками, такими як PostgreSQL, Apache httpd, Nginx і MariaDB. Передбачається, що зміна дозволить значно підвищити захищеність дистрибутива у конфігурації за замовчуванням і дозволить блокувати невідомі вразливості у системних сервісах. Пропозиція поки не розглянута комітетом FESCo (Fedora Engineering Steering Committee), який відповідає за технічну частину розробки дистрибутива Fedora. Пропозиція також може бути відхилена у процесі рецензування спільнотою.
Рекомендовані для увімкнення налаштування:
- PrivateTmp=yes — надання окремих директорій із тимчасовими файлами.
- ProtectSystem=yes/full/strict — монтування ФС у режимі лише читання (у режимі «full» — /etc/, як strict — всіх ФС, крім /dev/, /proc/ і /sys/).
- ProtectHome=yes – заборона доступу до домашніх каталогів користувачів.
- PrivateDevices=yes — залишення доступу лише до /dev/null, /dev/zero та /dev/random
- ProtectKernelTunables=yes — доступ лише в режимі читання /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq тощо.
- ProtectKernelModules=yes – заборона завантаження модулів ядра.
- ProtectKernelLogs=yes – заборона доступу до буфера з логами ядра.
- ProtectControlGroups=yes — доступ лише у режимі читання до /sys/fs/cgroup/
- NoNewPrivileges=yes — заборона підвищення привілеїв через прапори setuid, setgid та capabilities.
- PrivateNetwork=yes — розміщення в окремому просторі імен мережевого стека.
- ProtectClock=yes – заборона зміни часу.
- ProtectHostname=yes – заборона зміни імені хоста.
- ProtectProc = invisible - приховування чужих процесів /proc.
- User= — зміна користувача
Додатково можна розглянути включення налаштувань:
- CapabilityBoundingSet=
- DevicePolicy=closed
- KeyringMode=private
- LockPersonality=yes
- MemoryDenyWriteExecute=yes
- PrivateUsers=yes
- RemoveIPC=yes
- RestrictAddressFamilies=
- RestrictNamespaces=yes
- RestrictRealtime=yes
- RestrictSUIDSGID=yes
- SystemCallFilter=
- SystemCallArchitectures=native
Джерело: opennet.ru