Project management #79553
activer des fonctionnalités de sécurité de systemd
Statut:
Nouveau
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
09 juillet 2023
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Non
Club:
Non
Description
systemd a une série d'options permettant d'isoler les services du système (man 5 systemd.exec), on pourrait ajouter à nos services; d'un test rapide on pourrait fonctionner avec quelque chose comme :
ProtectSystem=strict ReadWritePaths=/var/lib/combo/tenants /var/lib/combo/spooler /var/log/combo ProtectHome=true
(pour w.c.s. on devra laisser ReadWritePaths à /var/lib/wcs tant que tous les tenants ne sont pas déplacés vers /var/lib/wcs/tenants).
Quelque chose de la sorte est discuté côté debian, https://wiki.debian.org/ReleaseGoals/SystemdAnalyzeSecurity