Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


admin_grundlagen:systemd_service_unit_files

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
Letzte Überarbeitung Beide Seiten, nächste Überarbeitung
admin_grundlagen:systemd_service_unit_files [2018/08/15 16:00]
ingo_wichmann [Beispiel für eine Service unit-file]
admin_grundlagen:systemd_service_unit_files [2018/08/16 10:08]
ingo_wichmann
Zeile 15: Zeile 15:
 )) ))
  
-Systemd Konfiguration neu laden+Systemd Konfiguration neu laden (( nicht nötig, wenn das Unit File mit ''​systemctl edit''​ angelegt oder bearbeitet wurde ))
   systemctl daemon-reload   systemctl daemon-reload
  
Zeile 100: Zeile 100:
 VMDELAY="​5"​ VMDELAY="​5"​
 VMLOGFILE="/​tmp/​vmstat.log"​ VMLOGFILE="/​tmp/​vmstat.log"​
 +</​file>​
 +
 +====== Dienste absichern ======
 +((Lennart Poettering schreibt: //​There'​s quite some stuff now we
 +should enable wherever we can. Specifically ProtectSystem=,​
 +ProtectHome=,​ ProtectKernelTunables=,​ ProtectKernelModules=,​
 +ProtectedControlGroups=,​ PrivateUsers=,​ PrivateTmp=,​ PrivateDevices=,​
 +PrivateNetwork=,​ SystemCallFilter=,​ RestrictAddressFamilies=,​
 +RestrictNamespaces=,​ MemoryDenyWriteExecute=,​ RestrictRealtime=//​ https://​lwn.net/​Articles/​709764/​))
 +
 +TODO: noch nicht getestet
 +
 +<file txt>
 +ProtectSystem=full
 +</​file>​
 +oder
 +<file txt>
 +ProtectSystem=strict
 +ReadWritePaths=/​var/​lib/​…
 +ReadOnlyPaths=/​var/​lib/​…
 +CapabilityBoundingSet=~CAP_SYS_ADMIN
 +SystemCallFilter=~@mount,​~@swap,​~@setuid,​~@resources,​~@reboot,​~@privileged,​~@obsolete,​~@module
 +</​file>​
 +
 +<file txt>
 +ProtectHome=true
 +ProtectKernelTunables=true
 +ProtectKernelModules=true
 +ProtectedControlGroups=true
 +PrivateTmp=true
 +PrivateDevices=true
 +SystemCallFilter=~@mount,​~@swap,​~@setuid,​~@resources,​~@reboot,​~@privileged,​~@obsolete,​~@module,​~@keyring,​~@cpu-emulation,​~@clock,​~@chown
 +RestrictAddressFamilies=AF_UNIX,​AF_INET,​AF_INET6
 +RestrictNamespaces=true
 +RestrictRealtime=true
 +#​PrivateUsers=
 +#​MemoryDenyWriteExecute=
 +#​IPAddressAllow=
 +#​IPAddressDeny=
 +#​AmbientCapabilitySet=
 +</​file>​
 +
 +Für lokale Dienste (systlog ohne netzwerk, cron (falls keine Jobs auf das Netzwerk zugreifen sollen), ...) zusätzlich:​
 +<file txt>
 +PrivateNetwork=true
 +RestrictAddressFamilies=AF_UNIX
 +</​file>​
 +
 +TODO: Für Dienste, die keine Daten dauerhaft speichern (ntpd? unbound?):
 +<file txt>
 +DynamicUser=yes
 +User=unbound
 +Group=unbound
 </​file>​ </​file>​
admin_grundlagen/systemd_service_unit_files.txt · Zuletzt geändert: 2025/03/20 09:20 von natureshadow2