В Fedora 40 планируют включить изоляцию системных сервисов

Автор Сообщение
news_bot ®

Стаж: 6 лет 5 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
21-Ноя-2023 02:00

В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом.
Рекомендованные для включения настройки:
  • PrivateTmp=yes - предоставление отдельных директорий со временными файлами.
  • ProtectSystem=yes/full/strict - монтирование ФС в режиме только для чтения (в режиме "full" - /etc/, в режиме strict - всех ФС, кроме /dev/, /proc/ и /sys/).
  • ProtectHome=yes - запрет доступа к домашним каталогам пользователей.
  • PrivateDevices=yes - оставление доступа только к /dev/null, /dev/zero и /dev/random
  • ProtectKernelTunables=yes - доступ только в режиме чтения к /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq и т.п.
  • ProtectKernelModules=yes - запрет загрузки модулей ядра.
  • ProtectKernelLogs=yes - запрет доступа к буферу с логами ядра.
  • ProtectControlGroups=yes - доступ только в режиме чтения к /sys/fs/cgroup/
  • NoNewPrivileges=yes - запрет повышения привилегий через флаги setuid, setgid и capabilities.
  • PrivateNetwork=yes - помещение в отдельное пространство имён сетевого стека.
  • ProtectClock=yes - запрет изменения времени.
  • ProtectHostname=yes - запрет изменения имени хоста.
  • ProtectProc=invisible - скрытие чужих процессов в /proc.
  • User= - смена пользователя
Дополнительно может быть рассмотрено включение настроек:
  • CapabilityBoundingSet=
  • DevicePolicy=closed
  • KeyringMode=private
  • LockPersonality=yes
  • MemoryDenyWriteExecute=yes
  • PrivateUsers=yes
  • RemoveIPC=yes
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=yes
  • SystemCallFilter=
  • SystemCallArchitectures=native

===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_fedora, #_systemd
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 20-Июл 14:27
Часовой пояс: UTC + 5