A distribuição Linux Fedora 40 reforça segurança do Systemd. Pelo menos é isto o que stá sendo planejado pelos desenvolvedores da distribuição. Assim, o Fedora 40 está planejando fornecer segurança de sistema mais reforçada, aproveitando alguns recursos de segurança de alto nível fornecidos pelo systemd.
O systemd upstream vem com uma série de configurações opcionais que podem ser usadas para aumentar a segurança dos serviços executados pelo systemd. Os desenvolvedores do Fedora agora têm aprovação para habilitar uma série dessas configurações para reforçar suas defesas.
Entre as opções do systemd a serem habilitadas estão PrivateTmp, ProtectSystem, ProtectHome, ProtectClock, ProtectHostname, ProtectKernelModules, PrivateDevices, PrivateNetwork, NoNewPrivileges, ProtectKernelTunables e uma variedade de outras opções que aplicam restrições e isolamento adicionais em torno da execução de serviços do systemd.
Fedora 40 reforça segurança do Systemd
A proposta de mudança descreve os benefícios de segurança do systemd para o Fedora 40 como:
“Os serviços Fedora receberão um aumento significativo de segurança por padrão, evitando ou mitigando quaisquer vulnerabilidades de segurança desconhecidas nos serviços padrão do sistema. Já que o Fedora incluirá a versão mais recente do systemd e outros componentes e terá visibilidade e controle da configuração padrão dos serviços, pode ir muito além do que o upstream pode suportar diretamente com base em sua versão mínima do systemd.
Como o Fedora já tem a reputação de ser focado na segurança (SELinux habilitado por padrão, sinalizadores de compilador em todo o sistema que habilitam uma série de recursos de segurança, etc.), ele está em uma boa posição para atuar como um ponto de coordenação e integração.
Pode ser a primeira distribuição convencional que permite mais desses recursos de proteção do sistema por padrão e empurrá-los para o upstream sempre que possível. Isso serve a primeira parte, recursos e amigos do Fedora missão respectivamente.”
As mudanças de fortalecimento da segurança do systemd foram aprovadas pelo Comitê de Engenharia e Direção do Fedora (FESCo) para estrear no Fedora 40 no começo de 2024.