Fedora 40 版本建议为默认启用的 systemd 系统服务以及关键应用程序(例如 PostgreSQL、Apache httpd、Nginx 和 MariaDB)的服务启用隔离设置。 预计这一更改将显着提高默认配置下发行版的安全性,并有可能阻止系统服务中的未知漏洞。 该提案尚未得到 FESCo(Fedora 工程指导委员会)的考虑,该委员会负责 Fedora 发行版开发的技术部分。 提案也可能在社区审核过程中被拒绝。
建议启用的设置:
- PrivateTmp=yes - 提供带有临时文件的单独目录。
- ProtectSystem=yes/full/strict — 以只读模式挂载文件系统(在“完整”模式下 - /etc/,在严格模式下 - 除 /dev/、/proc/ 和 /sys/ 之外的所有文件系统)。
- ProtectHome=yes — 拒绝访问用户主目录。
- PrivateDevices=yes - 仅保留对 /dev/null、/dev/zero 和 /dev/random 的访问权限
- ProtectKernelTunables=yes - 对 /proc/sys/、/sys/、/proc/acpi、/proc/fs、/proc/irq 等的只读访问。
- ProtectKernelModules=yes - 禁止加载内核模块。
- ProtectKernelLogs=yes - 禁止访问带有内核日志的缓冲区。
- ProtectControlGroups=yes - 对 /sys/fs/cgroup/ 的只读访问权限
- NoNewPrivileges=yes - 禁止通过 setuid、setgid 和功能标志提升权限。
- PrivateNetwork=yes - 放置在网络堆栈的单独命名空间中。
- ProtectClock=yes—禁止更改时间。
- ProtectHostname=yes - 禁止更改主机名。
- ProtectProc=invisible - 将其他人的进程隐藏在 /proc 中。
- 用户= - 更改用户
此外,您可以考虑启用以下设置:
- 能力边界集=
- DevicePolicy=关闭
- 密钥环模式=私有
- 锁定个性=是
- MemoryDenyWriteExecute=是
- 私人用户=是
- 删除IPC=是
- 限制地址族=
- 限制命名空间=是
- 限制实时=是
- 限制SUIDSGID=是
- 系统调用过滤器=
- 系统调用架构=本机
来源: opennet.ru