Project management #79553
activer des fonctionnalités de sécurité de systemd
Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
09 July 2023
Due date:
% Done:
0%
Estimated time:
Patch proposed:
No
Planning:
No
Club:
No
Description
systemd a une série d'options permettant d'isoler les services du système (man 5 systemd.exec), on pourrait ajouter à nos services; d'un test rapide on pourrait fonctionner avec quelque chose comme :
ProtectSystem=strict ReadWritePaths=/var/lib/combo/tenants /var/lib/combo/spooler /var/log/combo ProtectHome=true
(pour w.c.s. on devra laisser ReadWritePaths à /var/lib/wcs tant que tous les tenants ne sont pas déplacés vers /var/lib/wcs/tenants).
Quelque chose de la sorte est discuté côté debian, https://wiki.debian.org/ReleaseGoals/SystemdAnalyzeSecurity