Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Ahojte,

plánuji nějaké úpravy pro nasazení nějakých služeb a chtěl bychom bych začít používat více systemd a jeho omezení aplikace/přístupů. Trošku jsem se na začátku zasekl na logování a na možnosti spouštět službu ve více instancích (opravdu je to v systemd dost omezené -> ale nakonec se to nějak podařilo) Následně jsem narazil na začátku omezování aplikace a dost tvrdě. V principu bych chtěl aplikaci dát něco jako chroot a omezit přístup/viditelnost a připojit jen nějaké konkrétní adresáře.

PrivateUsers=true
ProtectHome=yes
#%i is instance id
BindPaths=/home/user/userdata/%i/
ReadWritePaths=/home/user/userdata/%i/

nebo ve variantě s omezením přístupu k /usr/bin a povolení přístup k ls

PrivateUsers=true
ProtectSystem=strict
InaccessiblePaths=/usr/bin
BindPaths=/usr/bin/ls
ReadOnlyPaths=/usr/bin/ls

Bohužel ani jedna věc se zdá, že nefunguje, jelikož se prostě přípojí /usr/bin jako tmpfs a nic více následně. Víte někdo jak to má fungovat/ používáte to někdo? Ještě jedna informace, pokud použiji ProtectHome=read-only > tak to funguje, ale to je vcelku k ničemu, jelikož ta služba může do home, kam se jí zlíbí... Ještě jedna důležitá věc -> jedná se o službu uživatele, tzn systemctl --user.

Nerad bych musel používat docker...

Pokud chces neco jako chroot, tak ta direktiva je RootDirectory.

6.6.2023 06:11 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

No chtěl bych zakázat přístup k některé složce a následně v ní povolit podsložku. RootDirectory imho není to co konkrétně hledám, jelikož to opravdu přehodí / na to místo, tzn není přístup nikam a je potřeba řešit závislosti? Tzn to už je lepší docker ;)

6.6.2023 06:14 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Tzn > zakázat např. /usr/bin ale povolit tam např. /usr/bin/ls. Tzn blacklist na vše ve složce a whitelist na konkrétní věci ve složce... Nejsem si jistý, zda to dává smysl.

6.6.2023 13:31 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Nedava. Proto bude lepsi kdyz napises o co se to vlastne pokousis.

6.6.2023 18:15 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Prostě co nejvíce omezit službu co bude běžet. Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné. Něco podobného jako v Dockeru. Rád bych prostě omezit ty služby a dovolit jim přístup pouze ke konkrétním složkám/souborům.

6.6.2023 23:31 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné.

Pekna blbost.

7.6.2023 05:18 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Proč? Omezuje to značně jakýkoliv dopad pokud bude s aplikací problém? Ideálně bych to chtěl omezit co to půjde.

7.6.2023 08:42 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Protoze k tomu neni zadny duvod. Bud je ta "aplikace" hodne spatne napsana(podle meho nazoru si vymyslis a nic nemas), nebo mas silnou paranoiu. Oboji je ztrata casu.

Dotaz: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Odpovědi