Для защиты Fedora предложено дефолтно включить изоляцию systemd

В Fedora 40 могут по умолчанию включить настройки изоляции и режим сэндбокса для ряда системных сервисов (systemd), а также для критически важных сервисов, таких как PostgreSQL, Apache httpd, Nginx, MariaDB.

Цель предложенных изменений — повысить защищенность дистрибутива в дефолтной конфигурации и предотвратить эксплойт уязвимостей 0-day или как минимум смягчить его последствия.

Ужесточение настроек безопасности при этом не должно быть групповым. По словам автора инициативы, это облегчит корректировку на индивидуальной основе и уменьшит возможные проблемы при апгрейде.

Рекомендованные для включения настройки:

• PrivateTmp=yes
• ProtectSystem=yes/full/strict
• ProtectHome=yes /read-only
• ProtectClock=yes
• ProtectHostname=yes
• ProtectControlGroups=yes
• ProtectKernelLogs=yes
• ProtectKernelModules=yes
• ProtectKernelTunables=yes
• ProtectProc=invisible
• PrivateDevices=yes
• PrivateNetwork=yes
• NoNewPrivileges=yes
• User=

В дальнейшем список можно дополнить:

• CapabilityBoundingSet=
• DevicePolicy=closed
• KeyringMode=private
• LockPersonality=yes
• MemoryDenyWriteExecute=yes
• PrivateUsers=yes
• RemoveIPC=yes
• RestrictAddressFamilies=
• RestrictNamespaces=yes
• RestrictRealtime=yes
• RestrictSUIDSGID=yes
• SystemCallFilter=
• SystemCallArchitectures=native

Предложение пока не рассмотрено FESCo (Fedora Engineering Steering Committee, выборный орган, отвечающий за техническое состояние проекта Fedora) и может быть отклонено по итогам обсуждения в сообществе.

Напомним, в Fedora 40 также хотели добавить телеметрию, с возможностью контроля сбора данных со стороны сообщества. В настоящее время это изменение в плане выпуска не числится; две недели назад в профильной группе сообщества появилась реплика: предложение отозвано, автор будет его пересматривать с учетом фидбэка.