Ограничьте привилегии системного сервиса до минимума
315
steiny
Я пишу служебный файл systemd для fai-monitor (8) . Этот демон прослушивает один порт, получает TCP-соединения и записывает один файл журнала с интересной информацией.
Чтобы уменьшить поверхность атаки в системе, служба должна запускаться с наименьшими возможными привилегиями. Следуя советам по вариантам усиления защиты сервисных модулей systemd, я создал этот сервисный файл:
[Unit] Description=FAI Monitor Daemon [Service] Type=simple ExecStart=/usr/sbin/fai-monitor -l /run/fai-monitor/fai-monitor.log DynamicUser=true RuntimeDirectory=fai-monitor RuntimeDirectoryMode=755 MemoryDenyWriteExecute=true NoNewPrivileges=true PrivateTmp=true PrivateUsers=true ProtectHome=true ProtectSystem=strict PrivateDevices=true ProtectKernelTunables=true ProtectControlGroups=true RestrictAddressFamilies=AF_INET AF_INET6 RestrictRealtime=true TasksMax=16 MemoryHigh=10M SystemCallFilter=~@mount @debug @privileged Хотя это кажется довольно ограничительным, служебный файл является относительно многословным.
Существуют ли другие способы ограничить службу минимальным набором привилегий? В частности, что-то подобное RestrictEverything=trueбыло бы интересно с последующим внесением в белый список разрешенных ресурсов.
0 ответов на вопрос
Похожие вопросы
-
3
Установите Silverlight для Mozilla Firefox без прав администратора
-
4
Какое программное обеспечение я должен использовать для шифрования моего жесткого диска?
-
2
Windows 7 Home Premium запоминает пароли общего доступа к сети?
-
-
3
Может ли существующее шифрование беспроводной сети реально защитить сеть?
-
2
Каковы проблемы безопасности компьютера, подключенного напрямую к модему?
-
2
Как я могу настроить свою беспроводную сеть для максимальной безопасности?
-
2
Как лучше всего защитить мой компьютер от вирусов и программ чтения с экрана?
-
2
Защита моей беспроводной сети
-
1
Как я могу повысить безопасность своего портала?
-
2
Предупреждения RootKit Hunter в Mac OS X