Project

General

Profile

Gestion de projet #79553

activer des fonctionnalités de sécurité de systemd

Added by Frédéric Péters almost 2 years ago. Updated almost 2 years ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
09 July 2023
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No
Club:
No

Description

systemd a une série d'options permettant d'isoler les services du système (man 5 systemd.exec), on pourrait ajouter à nos services; d'un test rapide on pourrait fonctionner avec quelque chose comme :

ProtectSystem=strict
ReadWritePaths=/var/lib/combo/tenants /var/lib/combo/spooler /var/log/combo
ProtectHome=true

(pour w.c.s. on devra laisser ReadWritePaths à /var/lib/wcs tant que tous les tenants ne sont pas déplacés vers /var/lib/wcs/tenants).

Quelque chose de la sorte est discuté côté debian, https://wiki.debian.org/ReleaseGoals/SystemdAnalyzeSecurity

Also available in: Atom PDF