В Fedora 40 планируют включить изоляцию системных сервисов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом.
Рекомендованные для включения настройки:
- PrivateTmp=yes - предоставление отдельных директорий со временными файлами.
- ProtectSystem=yes/full/strict - монтирование ФС в режиме только для чтения (в режиме "full" - /etc/, в режиме strict - всех ФС, кроме /dev/, /proc/ и /sys/).
- ProtectHome=yes - запрет доступа к домашним каталогам пользователей.
- PrivateDevices=yes - оставление доступа только к /dev/null, /dev/zero и /dev/random
- ProtectKernelTunables=yes - доступ только в режиме чтения к /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq и т.п.
- ProtectKernelModules=yes - запрет загрузки модулей ядра.
- ProtectKernelLogs=yes - запрет доступа к буферу с логами ядра.
- ProtectControlGroups=yes - доступ только в режиме чтения к /sys/fs/cgroup/
- NoNewPrivileges=yes - запрет повышения привилегий через флаги setuid, setgid и capabilities.
- PrivateNetwork=yes - помещение в отдельное пространство имён сетевого стека.
- ProtectClock=yes - запрет изменения времени.
- ProtectHostname=yes - запрет изменения имени хоста.
- ProtectProc=invisible - скрытие чужих процессов в /proc.
- User= - смена пользователя
Дополнительно может быть рассмотрено включение настроек:
- CapabilityBoundingSet=
- DevicePolicy=closed
- KeyringMode=private
- LockPersonality=yes
- MemoryDenyWriteExecute=yes
- PrivateUsers=yes
- RemoveIPC=yes
- RestrictAddressFamilies=
- RestrictNamespaces=yes
- RestrictRealtime=yes
- RestrictSUIDSGID=yes
- SystemCallFilter=
- SystemCallArchitectures=native
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lists.fedoraproject.or...)
- OpenNews: Релиз дистрибутива Fedora Linux 39
- OpenNews: В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
- OpenNews: Выпуск системного менеджера systemd 254 с поддержкой мягкой перезагрузки
- OpenNews: В Fedora 38 планируют реализовать поддержку универсальных образов ядра
- OpenNews: Разработчики Fedora рассматривают возможность включения телеметрии
Похожие новости:
- Релиз дистрибутива Fedora Linux 39
- 20 лет с момента первого выпуска Fedora Linux
- В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
- Инициатива Fedora Atomic Desktop
- Дистрибутив Fedora Linux 39 перешёл на стадию бета-тестирования
- В Fedora 40 планируют прекратить поддержу X11 в окружении KDE
- Выпуск системного менеджера systemd 254 с поддержкой мягкой перезагрузки
- Red Hat прекратит подготовку rpm-пакетов с LibreOffice для RHEL и Fedora
- Red Hat упразднил должность Fedora Program Manager
- Леннарт Поттеринг предложил добавить в systemd режим мягкой перезагрузки
Теги для поиска: #_fedora, #_systemd
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 14:42
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом. Рекомендованные для включения настройки:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 14:42
Часовой пояс: UTC + 5