abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    NixOS 24.05 Uakari
    včera 23:55 | Nová verze

    Byla vydána nová stabilní verze 24.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Uakari. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    NetworkManager 1.48.0
    včera 17:33 | Nová verze

    Byla vydána nová verze 1.48.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Fernando F. Mancera. Mimo jiné se v nastavení místo mac-address-blacklist nově používá mac-address-denylist.

    Ladislav Hagara | Komentářů: 5
    25 let Krity
    včera 17:11 | Komunita

    Před 25 lety, 31. května 1999, započal vývoj grafického editoru Krita (Wikipedie). Tenkrát ještě pod názvem KImageShop a později pod názvem Krayon.

    Ladislav Hagara | Komentářů: 2
    Novinky v Kdenlive 24.05.0
    včera 12:55 | Nová verze

    Farid Abdelnour se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 24.05.0 editoru videa Kdenlive (Wikipedie). Ke stažení brzy také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    David Revoy: aktuální grafická pracovní stanice
    včera 11:22 | Zajímavý článek

    David Revoy, autor mj. komiksu Pepper&Carrot, se rozepsal o své aktuální grafické pracovní stanici: Debian 12 Bookworm, okenní systém X11, KDE Plasma 5.27, …

    Ladislav Hagara | Komentářů: 2
    Wayland 1.23.0
    30.5. 22:44 | Nová verze

    Wayland (Wikipedie) byl vydán ve verzi 1.23.0. Z novinek lze vypíchnout podporu OpenBSD.

    Ladislav Hagara | Komentářů: 0
    Novinky ve Windows Subsystému pro Linux (05/2024)
    30.5. 21:22 | Zajímavý článek

    Craig Loewen na blogu Microsoftu představil novinky ve Windows Subsystému pro Linux (WSL). Vypíchnout lze GUI aplikaci pro nastavování WSL nebo správu WSL z Dev Home.

    Ladislav Hagara | Komentářů: 0
    Maker Faire Ostrava
    30.5. 12:44 | Pozvánky

    V sobotu 1. června lze navštívit Maker Faire Ostrava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    Caddy 2.8
    30.5. 12:22 | Nová verze

    Webový server Caddy (Wikipedie) s celou řadou zajímavých vlastností byl vydán ve verzi 2.8 (𝕏). Přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 8
    HAProxy 3.0
    29.5. 22:11 | Nová verze

    Byla vydána verze 3.0 (@, 𝕏) svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.

    Ladislav Hagara | Komentářů: 7
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (90%)
     (3%)
     (4%)
     (4%)
    Celkem 1052 hlasů
     Komentářů: 17, poslední včera 15:31
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Štítky: bezpečnost, Docker, chroot, jeho, logování, omezení, systemd

    Dotaz: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

    5.6.2023 08:02 Alf
    Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Přečteno: 395×
    Ahojte,

    plánuji nějaké úpravy pro nasazení nějakých služeb a chtěl bychom bych začít používat více systemd a jeho omezení aplikace/přístupů. Trošku jsem se na začátku zasekl na logování a na možnosti spouštět službu ve více instancích (opravdu je to v systemd dost omezené -> ale nakonec se to nějak podařilo) Následně jsem narazil na začátku omezování aplikace a dost tvrdě. V principu bych chtěl aplikaci dát něco jako chroot a omezit přístup/viditelnost a připojit jen nějaké konkrétní adresáře. 
    PrivateUsers=true
ProtectHome=yes
#%i is instance id
BindPaths=/home/user/userdata/%i/
ReadWritePaths=/home/user/userdata/%i/
    nebo ve variantě s omezením přístupu k /usr/bin a povolení přístup k ls 
    PrivateUsers=true
ProtectSystem=strict
InaccessiblePaths=/usr/bin
BindPaths=/usr/bin/ls
ReadOnlyPaths=/usr/bin/ls
    Bohužel ani jedna věc se zdá, že nefunguje, jelikož se prostě přípojí /usr/bin jako tmpfs a nic více následně. Víte někdo jak to má fungovat/ používáte to někdo? Ještě jedna informace, pokud použiji ProtectHome=read-only > tak to funguje, ale to je vcelku k ničemu, jelikož ta služba může do home, kam se jí zlíbí... Ještě jedna důležitá věc -> jedná se o službu uživatele, tzn systemctl --user.

    Nerad bych musel používat docker...

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    5.6.2023 10:48 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Pokud chces neco jako chroot, tak ta direktiva je RootDirectory.
    6.6.2023 06:11 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    No chtěl bych zakázat přístup k některé složce a následně v ní povolit podsložku. RootDirectory imho není to co konkrétně hledám, jelikož to opravdu přehodí / na to místo, tzn není přístup nikam a je potřeba řešit závislosti? Tzn to už je lepší docker ;)
    6.6.2023 06:14 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Tzn > zakázat např. /usr/bin ale povolit tam např. /usr/bin/ls. Tzn blacklist na vše ve složce a whitelist na konkrétní věci ve složce... Nejsem si jistý, zda to dává smysl.
    6.6.2023 13:31 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Nedava. Proto bude lepsi kdyz napises o co se to vlastne pokousis.
    6.6.2023 18:15 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Prostě co nejvíce omezit službu co bude běžet. Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné. Něco podobného jako v Dockeru. Rád bych prostě omezit ty služby a dovolit jim přístup pouze ke konkrétním složkám/souborům.
    6.6.2023 23:31 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné.
    Pekna blbost.
    7.6.2023 05:18 Alf
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Proč? Omezuje to značně jakýkoliv dopad pokud bude s aplikací problém? Ideálně bych to chtěl omezit co to půjde.
    7.6.2023 08:42 X
    Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths
    Protoze k tomu neni zadny duvod. Bud je ta "aplikace" hodne spatne napsana(podle meho nazoru si vymyslis a nic nemas), nebo mas silnou paranoiu. Oboji je ztrata casu.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.