Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
admin_grundlagen:systemd_service_unit_files

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
Letzte Überarbeitung Beide Seiten, nächste Überarbeitung
admin_grundlagen:systemd_service_unit_files [2018/08/15 16:00]
ingo_wichmann [Beispiel für eine Service unit-file] 		admin_grundlagen:systemd_service_unit_files [2018/08/16 10:08]
ingo_wichmann
Zeile 15: Zeile 15:
 )) ))
  
-Systemd Konfiguration neu laden+Systemd Konfiguration neu laden (( nicht nötig, wenn das Unit File mit ''​systemctl edit''​ angelegt oder bearbeitet wurde ))
   systemctl daemon-reload   systemctl daemon-reload
  
Zeile 100: Zeile 100:
 VMDELAY="​5"​ VMDELAY="​5"​
 VMLOGFILE="/​tmp/​vmstat.log"​ VMLOGFILE="/​tmp/​vmstat.log"​
 +</​file>​
 +
 +====== Dienste absichern ======
 +((Lennart Poettering schreibt: //​There'​s quite some stuff now we
 +should enable wherever we can. Specifically ProtectSystem=,​
 +ProtectHome=,​ ProtectKernelTunables=,​ ProtectKernelModules=,​
 +ProtectedControlGroups=,​ PrivateUsers=,​ PrivateTmp=,​ PrivateDevices=,​
 +PrivateNetwork=,​ SystemCallFilter=,​ RestrictAddressFamilies=,​
 +RestrictNamespaces=,​ MemoryDenyWriteExecute=,​ RestrictRealtime=//​ https://​lwn.net/​Articles/​709764/​))
 +
 +TODO: noch nicht getestet
 +
 +<file txt>
 +ProtectSystem=full
 +</​file>​
 +oder
 +<file txt>
 +ProtectSystem=strict
 +ReadWritePaths=/​var/​lib/​…
 +ReadOnlyPaths=/​var/​lib/​…
 +CapabilityBoundingSet=~CAP_SYS_ADMIN
 +SystemCallFilter=~@mount,​~@swap,​~@setuid,​~@resources,​~@reboot,​~@privileged,​~@obsolete,​~@module
 +</​file>​
 +
 +<file txt>
 +ProtectHome=true
 +ProtectKernelTunables=true
 +ProtectKernelModules=true
 +ProtectedControlGroups=true
 +PrivateTmp=true
 +PrivateDevices=true
 +SystemCallFilter=~@mount,​~@swap,​~@setuid,​~@resources,​~@reboot,​~@privileged,​~@obsolete,​~@module,​~@keyring,​~@cpu-emulation,​~@clock,​~@chown
 +RestrictAddressFamilies=AF_UNIX,​AF_INET,​AF_INET6
 +RestrictNamespaces=true
 +RestrictRealtime=true
 +#​PrivateUsers=
 +#​MemoryDenyWriteExecute=
 +#​IPAddressAllow=
 +#​IPAddressDeny=
 +#​AmbientCapabilitySet=
 +</​file>​
 +
 +Für lokale Dienste (systlog ohne netzwerk, cron (falls keine Jobs auf das Netzwerk zugreifen sollen), ...) zusätzlich:​
 +<file txt>
 +PrivateNetwork=true
 +RestrictAddressFamilies=AF_UNIX
 +</​file>​
 +
 +TODO: Für Dienste, die keine Daten dauerhaft speichern (ntpd? unbound?):
 +<file txt>
 +DynamicUser=yes
 +User=unbound
 +Group=unbound
 </​file>​ </​file>​
admin_grundlagen/systemd_service_unit_files.txt · Zuletzt geändert: 2025/03/20 09:20 von natureshadow2

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki