Fedora 40 版本建議為預設啟用的 systemd 系統服務以及關鍵任務應用程式(例如 PostgreSQL、Apache httpd、Nginx 和 MariaDB)的服務啟用隔離設定。 預計這項變更將顯著提高預設配置下發行版的安全性,並有可能阻止系統服務中的未知漏洞。 該提案尚未得到 FESCo(Fedora 工程指導委員會)的考慮,該委員會負責 Fedora 發行版開發的技術部分。 提案也可能在社區審核過程中被拒絕。
建議啟用的設定:
- PrivateTmp=yes - 提供具有暫存檔案的單獨目錄。
- ProtectSystem=yes/full/strict — 以唯讀模式掛載檔案系統(在「完整」模式下- /etc/,在嚴格模式下- 除/dev/、/proc/ 和/sys/ 之外的所有文件系統)。
- ProtectHome=yes — 拒絕存取使用者主目錄。
- PrivateDevices=yes - 僅保留對 /dev/null、/dev/zero 和 /dev/random 的存取權限
- ProtectKernelTunables=yes - 對 /proc/sys/、/sys/、/proc/acpi、/proc/fs、/proc/irq 等的唯讀存取。
- ProtectKernelModules=yes - 禁止載入核心模組。
- ProtectKernelLogs=yes - 禁止存取具有核心日誌的緩衝區。
- ProtectControlGroups=yes - 對 /sys/fs/cgroup/ 的唯讀存取權限
- NoNewPrivileges=yes - 禁止透過 setuid、setgid 和功能標誌提升權限。
- PrivateNetwork=yes - 放置在網路堆疊的單獨命名空間。
- ProtectClock=yes—禁止更改時間。
- ProtectHostname=yes - 禁止更改主機名稱。
- ProtectProc=invisible - 將其他人的程序隱藏在 /proc 中。
- 用戶= - 更改用戶
此外,您可以考慮啟用以下設定:
- 能力邊界集合=
- DevicePolicy=關閉
- 密鑰環模式=私有
- 鎖定個性=是
- MemoryDenyWriteExecute=是
- 私人用戶=是
- 刪除IPC=是
- 限制地址族=
- 限制命名空間=是
- 限制實時=是
- 限制SUIDSGID=是
- 系統呼叫過濾器=
- 系統呼叫架構=本機
來源: opennet.ru