abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Společnost OpenAI představila svůj nejnovější AI model GPT-4o
    včera 22:00 | IT novinky

    Společnost OpenAI představila svůj nejnovější AI model GPT-4o (o jako omni, tj. vše). Nově také "vidí" a "slyší". Videoukázky na 𝕏 nebo YouTube.

    Ladislav Hagara | Komentářů: 0
    Reportáž z ceremonie podpisu kořenové zóny DNS
    včera 15:44 | Zajímavý článek

    Ondřej Filip publikoval reportáž z ceremonie podpisu kořenové zóny DNS. Zhlédnout lze také jeho nedávnou přednášku Jak se podepisuje kořenová zóna Internetu v rámci cyklu Fyzikální čtvrtky FEL ČVUT.

    Ladislav Hagara | Komentářů: 0
    Monitory určené pro programátory?
    včera 14:22 | IT novinky

    Společnost BenQ uvádí na trh novou řadu monitorů RD určenou pro programátory. První z nich je RD240Q.

    Ladislav Hagara | Komentářů: 10
    Superpočítač Frontier nadále zůstává nejvýkonnějším superpočítačem na světě (TOP500 06/2024)
    včera 13:00 | IT novinky

    Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem nadále zůstává Frontier od HPE (Cray) s výkonem 1,206 exaFLOPS. Druhá Aurora má oproti loňsku přibližně dvojnásobný počet jader a dvojnásobný výkon: 1,012 exaFLOPS. Novým počítačem v první desítce je na 6. místě Alps. Novým českým počítačem v TOP500 je na 112. místě C24 ve Škoda Auto v Mladé Boleslavi. Ostravská Karolina, GPU

    … více »
    Ladislav Hagara | Komentářů: 0
    GHC (Glasgow Haskell Compiler) 9.10.1
    včera 10:11 | Nová verze

    GHC (Glasgow Haskell Compiler, Wikipedie), tj. překladač funkcionálního programovacího jazyka Haskell (Wikipedie), byl vydán ve verzi 9.10.1. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Linux 6.9
    včera 09:22 | Nová verze

    Po 9 týdnech vývoje od vydání Linuxu 6.8 oznámil Linus Torvalds vydání Linuxu 6.9. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna. Později také na Linux Kernel Newbies.

    Ladislav Hagara | Komentářů: 2
    Pingora 0.2.0
    11.5. 18:22 | Nová verze

    Byla vydána verze 0.2.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Společnost Cloudflare jej letos v únoru uvolnila pod licencí Apache 2.0.

    Ladislav Hagara | Komentářů: 0
    xrdp 0.10.0
    10.5. 19:11 | Nová verze

    Open source RDP (Remote Desktop Protocol) server xrdp (Wikipedie) byl vydán ve verzi 0.10.0. Z novinek je vypíchnuta podpora GFX (Graphic Pipeline Extension). Nová větev řeší také několik bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 16
    Rocky Linux 9.4
    10.5. 04:11 | Nová verze

    Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Dellu byla odcizena databáze zákazníků
    9.5. 22:22 | Bezpečnostní upozornění

    Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].

    Ladislav Hagara | Komentářů: 22
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (72%)
     (6%)
     (10%)
     (12%)
    Celkem 223 hlasů
     Komentářů: 15, poslední včera 21:33
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Štítky: bezpečnost, Docker, chroot, jeho, logování, omezení, systemd

    Dotaz: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

    5.6.2023 08:02 Alf
    Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Přečteno: 394×
    Ahojte,

    plánuji nějaké úpravy pro nasazení nějakých služeb a chtěl bychom bych začít používat více systemd a jeho omezení aplikace/přístupů. Trošku jsem se na začátku zasekl na logování a na možnosti spouštět službu ve více instancích (opravdu je to v systemd dost omezené -> ale nakonec se to nějak podařilo) Následně jsem narazil na začátku omezování aplikace a dost tvrdě. V principu bych chtěl aplikaci dát něco jako chroot a omezit přístup/viditelnost a připojit jen nějaké konkrétní adresáře. 
    PrivateUsers=true
ProtectHome=yes
#%i is instance id
BindPaths=/home/user/userdata/%i/
ReadWritePaths=/home/user/userdata/%i/
    nebo ve variantě s omezením přístupu k /usr/bin a povolení přístup k ls 
    PrivateUsers=true
ProtectSystem=strict
InaccessiblePaths=/usr/bin
BindPaths=/usr/bin/ls
ReadOnlyPaths=/usr/bin/ls
    Bohužel ani jedna věc se zdá, že nefunguje, jelikož se prostě přípojí /usr/bin jako tmpfs a nic více následně. Víte někdo jak to má fungovat/ používáte to někdo? Ještě jedna informace, pokud použiji ProtectHome=read-only > tak to funguje, ale to je vcelku k ničemu, jelikož ta služba může do home, kam se jí zlíbí... Ještě jedna důležitá věc -> jedná se o službu uživatele, tzn systemctl --user.

    Nerad bych musel používat docker...

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    5.6.2023 10:48 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Pokud chces neco jako chroot, tak ta direktiva je RootDirectory.
    6.6.2023 06:11 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    No chtěl bych zakázat přístup k některé složce a následně v ní povolit podsložku. RootDirectory imho není to co konkrétně hledám, jelikož to opravdu přehodí / na to místo, tzn není přístup nikam a je potřeba řešit závislosti? Tzn to už je lepší docker ;)
    6.6.2023 06:14 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Tzn > zakázat např. /usr/bin ale povolit tam např. /usr/bin/ls. Tzn blacklist na vše ve složce a whitelist na konkrétní věci ve složce... Nejsem si jistý, zda to dává smysl.
    6.6.2023 13:31 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Nedava. Proto bude lepsi kdyz napises o co se to vlastne pokousis.
    6.6.2023 18:15 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Prostě co nejvíce omezit službu co bude běžet. Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné. Něco podobného jako v Dockeru. Rád bych prostě omezit ty služby a dovolit jim přístup pouze ke konkrétním složkám/souborům.
    6.6.2023 23:31 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné.
    Pekna blbost.
    7.6.2023 05:18 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Proč? Omezuje to značně jakýkoliv dopad pokud bude s aplikací problém? Ideálně bych to chtěl omezit co to půjde.
    7.6.2023 08:42 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Protoze k tomu neni zadny duvod. Bud je ta "aplikace" hodne spatne napsana(podle meho nazoru si vymyslis a nic nemas), nebo mas silnou paranoiu. Oboji je ztrata casu.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.