Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
admin_grundlagen:systemd_service_unit_files

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung 		Vorherige Überarbeitung
admin_grundlagen:systemd_service_unit_files [2018/08/15 16:00]
ingo_wichmann [Beispiel für eine Service unit-file] 		admin_grundlagen:systemd_service_unit_files [2018/08/16 10:08]
ingo_wichmann
Zeile 15: Zeile 15:
 )) ))
  
-Systemd Konfiguration neu laden+Systemd Konfiguration neu laden (( nicht nötig, wenn das Unit File mit ''​systemctl edit''​ angelegt oder bearbeitet wurde ))
   systemctl daemon-reload   systemctl daemon-reload
  
Zeile 100: Zeile 100:
 VMDELAY="​5"​ VMDELAY="​5"​
 VMLOGFILE="/​tmp/​vmstat.log"​ VMLOGFILE="/​tmp/​vmstat.log"​
 +</​file>​
 +
 +====== Dienste absichern ======
 +((Lennart Poettering schreibt: //​There'​s quite some stuff now we
 +should enable wherever we can. Specifically ProtectSystem=,​
 +ProtectHome=,​ ProtectKernelTunables=,​ ProtectKernelModules=,​
 +ProtectedControlGroups=,​ PrivateUsers=,​ PrivateTmp=,​ PrivateDevices=,​
 +PrivateNetwork=,​ SystemCallFilter=,​ RestrictAddressFamilies=,​
 +RestrictNamespaces=,​ MemoryDenyWriteExecute=,​ RestrictRealtime=//​ https://​lwn.net/​Articles/​709764/​))
 +
 +TODO: noch nicht getestet
 +
 +<file txt>
 +ProtectSystem=full
 +</​file>​
 +oder
 +<file txt>
 +ProtectSystem=strict
 +ReadWritePaths=/​var/​lib/​…
 +ReadOnlyPaths=/​var/​lib/​…
 +CapabilityBoundingSet=~CAP_SYS_ADMIN
 +SystemCallFilter=~@mount,​~@swap,​~@setuid,​~@resources,​~@reboot,​~@privileged,​~@obsolete,​~@module
 +</​file>​
 +
 +<file txt>
 +ProtectHome=true
 +ProtectKernelTunables=true
 +ProtectKernelModules=true
 +ProtectedControlGroups=true
 +PrivateTmp=true
 +PrivateDevices=true
 +SystemCallFilter=~@mount,​~@swap,​~@setuid,​~@resources,​~@reboot,​~@privileged,​~@obsolete,​~@module,​~@keyring,​~@cpu-emulation,​~@clock,​~@chown
 +RestrictAddressFamilies=AF_UNIX,​AF_INET,​AF_INET6
 +RestrictNamespaces=true
 +RestrictRealtime=true
 +#​PrivateUsers=
 +#​MemoryDenyWriteExecute=
 +#​IPAddressAllow=
 +#​IPAddressDeny=
 +#​AmbientCapabilitySet=
 +</​file>​
 +
 +Für lokale Dienste (systlog ohne netzwerk, cron (falls keine Jobs auf das Netzwerk zugreifen sollen), ...) zusätzlich:​
 +<file txt>
 +PrivateNetwork=true
 +RestrictAddressFamilies=AF_UNIX
 +</​file>​
 +
 +TODO: Für Dienste, die keine Daten dauerhaft speichern (ntpd? unbound?):
 +<file txt>
 +DynamicUser=yes
 +User=unbound
 +Group=unbound
 </​file>​ </​file>​
admin_grundlagen/systemd_service_unit_files.txt · Zuletzt geändert: 2018/08/16 10:08 von ingo_wichmann

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki