Prohoster > Blog > tin tức mạng > Fedora 40 có kế hoạch cho phép cách ly dịch vụ hệ thống

Fedora 40 có kế hoạch cho phép cách ly dịch vụ hệ thống

Bản phát hành Fedora 40 đề xuất bật cài đặt cách ly cho các dịch vụ hệ thống systemd được bật theo mặc định, cũng như các dịch vụ có ứng dụng quan trọng như PostgreSQL, Apache httpd, Nginx và MariaDB. Dự kiến, thay đổi này sẽ tăng cường đáng kể tính bảo mật của bản phân phối trong cấu hình mặc định và sẽ giúp chặn các lỗ hổng không xác định trong các dịch vụ hệ thống. Đề xuất này vẫn chưa được xem xét bởi FESCo (Ban chỉ đạo kỹ thuật Fedora), cơ quan chịu trách nhiệm về phần kỹ thuật trong việc phát triển bản phân phối Fedora. Một đề xuất cũng có thể bị từ chối trong quá trình xem xét của cộng đồng.

Cài đặt được đề xuất để bật:

  • PrivateTmp=yes - cung cấp các thư mục riêng biệt với các tệp tạm thời.
  • ProtectSystem=yes/full/strict — gắn hệ thống tệp ở chế độ chỉ đọc (ở chế độ “đầy đủ” - /etc/, ở chế độ nghiêm ngặt - tất cả các hệ thống tệp ngoại trừ /dev/, /proc/ và /sys/).
  • ProtectHome=yes—từ chối quyền truy cập vào thư mục chính của người dùng.
  • PrivateDevices=yes - chỉ để lại quyền truy cập vào/dev/null,/dev/zero và/dev/ngẫu nhiên
  • ProtectKernelTunables=yes - quyền truy cập chỉ đọc vào /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq, v.v.
  • ProtectKernelModules=yes - cấm tải các mô-đun hạt nhân.
  • ProtectKernelLogs=yes - cấm truy cập vào bộ đệm bằng nhật ký kernel.
  • ProtectControlGroups=yes - quyền truy cập chỉ đọc vào /sys/fs/cgroup/
  • NoNewPrivileges=yes - cấm nâng cao đặc quyền thông qua cờ setuid, setgid và khả năng.
  • PrivateNetwork=yes - vị trí trong một không gian tên riêng biệt của ngăn xếp mạng.
  • ProtectClock=yes—cấm thay đổi thời gian.
  • ProtectHostname=yes - cấm thay đổi tên máy chủ.
  • ProtectProc=invisible - ẩn tiến trình của người khác trong /proc.
  • Người dùng= - thay đổi người dùng

Ngoài ra, bạn có thể xem xét bật các cài đặt sau:

  • CapabilityBoundingSet=
  • Chính sách thiết bị=đã đóng
  • KeyringMode=riêng tư
  • Khóa Tính cách=có
  • Bộ nhớDenyWriteExecute=có
  • Người dùng riêng tư=có
  • RemoveIPC=có
  • Hạn chếĐịa chỉFamilies=
  • Hạn chếNamespaces=có
  • Hạn chếRealtime=có
  • Hạn chếSUIDSGID=có
  • SystemCallFilter=
  • SystemCallArchitectures=gốc

Nguồn: opennet.ru

Thêm một lời nhận xét