Fedora 40计划通过利用SYSTEM D提供的一些高级安全功能来提供更强大的系统安全性。
上游SYSTEM D附带了许多可选设置,可用于加强由SYSTEM D运行的服务的安全性。软呢帽开发商现在获得批准,可以启用一些这样的设置来加强他们的防御。
要启用的系统D选项包括PrivateTMP、ProtectSystem、ProtectHome、ProtectClock、ProtectHostname、ProtectKernelModules、PrivateDevices、PrivateNetwork、NoNewPrivileges、ProtectKernelTunables,以及围绕运行的系统D服务应用附加限制和隔离的各种其他选项。
这个更改建议书将给Fedora 40带来的系统安全优势描述为:
“默认情况下,通过避免或减轻默认系统服务中任何未知的安全漏洞,Fedora服务将获得显著的安全提升。由于Fedora将包括最新版本的system d和其他组件,并对服务的默认配置具有可见性和可控性,因此它可以远远超出上游基于其最低版本的system d所能支持的范围。由于Fedora已经拥有以安全为中心的声誉(默认情况下启用SELinux,系统范围的编译器标志启用许多安全功能等),因此它处于一个很好的位置来充当协调和集成点。
它可能是第一个默认启用更多systemd强化功能的主流发行版,并在可行的情况下将其推向上游。这分别服务于Fedora使命的第一部分、功能部分和朋友部分。”
系统安全强化更改包括已批准 today by the Fedora Engineering and Steering Committee (FESCo) for debuting in Fedora 40 next spring.
