В Fedora 40 могут по умолчанию включить настройки изоляции и режим сэндбокса для ряда системных сервисов (systemd), а также для критически важных сервисов, таких как PostgreSQL, Apache httpd, Nginx, MariaDB.
Цель предложенных изменений — повысить защищенность дистрибутива в дефолтной конфигурации и предотвратить эксплойт уязвимостей 0-day или как минимум смягчить его последствия.
Ужесточение настроек безопасности при этом не должно быть групповым. По словам автора инициативы, это облегчит корректировку на индивидуальной основе и уменьшит возможные проблемы при апгрейде.
Рекомендованные для включения настройки:
- PrivateTmp=yes
- ProtectSystem=yes/full/strict
- ProtectHome=yes /read-only
- ProtectClock=yes
- ProtectHostname=yes
- ProtectControlGroups=yes
- ProtectKernelLogs=yes
- ProtectKernelModules=yes
- ProtectKernelTunables=yes
- ProtectProc=invisible
- PrivateDevices=yes
- PrivateNetwork=yes
- NoNewPrivileges=yes
- User=
В дальнейшем список можно дополнить:
- CapabilityBoundingSet=
- DevicePolicy=closed
- KeyringMode=private
- LockPersonality=yes
- MemoryDenyWriteExecute=yes
- PrivateUsers=yes
- RemoveIPC=yes
- RestrictAddressFamilies=
- RestrictNamespaces=yes
- RestrictRealtime=yes
- RestrictSUIDSGID=yes
- SystemCallFilter=
- SystemCallArchitectures=native
Предложение пока не рассмотрено FESCo (Fedora Engineering Steering Committee, выборный орган, отвечающий за техническое состояние проекта Fedora) и может быть отклонено по итогам обсуждения в сообществе.
Напомним, в Fedora 40 также хотели добавить телеметрию, с возможностью контроля сбора данных со стороны сообщества. В настоящее время это изменение в плане выпуска не числится; две недели назад в профильной группе сообщества появилась реплика: предложение отозвано, автор будет его пересматривать с учетом фидбэка.
