Abo
  • Services:
Anzeige
Systemd bekommt einfach umzusetzende Sandbox-Optionen.
Systemd bekommt einfach umzusetzende Sandbox-Optionen. (Bild: Ben Tubby/CC-BY 2.0)

Linux: Weitere Sandbox-Funktionen für Systemd-Dienste

Über neue Optionen kann Systemd verhindern, dass Dienste das laufende System verändern oder auf die privaten Daten eines Nutzers zugreifen können. Entwickler Poettering wünscht sich die Umsetzung für alle langlebigen Dienste, auch außerhalb von Systemd.

Anzeige

Mit den mittlerweile als ProtectSystem= und ProtectHome= bezeichneten Einstellungen in Systemd ist es der Software möglich, bestimmten Diensten den Zugriff auf Ordner des Nutzers und des Systems komplett zu verwehren beziehungsweise diesen nur lesend zu erlauben.

Wie Entwickler Lennart Poettering auf Google+ erklärt, sorgt die erste Option dafür, dass die Verzeichnisse /usr, /boot sowie /etc für ausgewählte Dienste nur lesend eingehangen werden. Die Änderung betrifft damit nur jene Distributionen, die das neue Dateisystem-Layout in vollem Umfang übernommen haben. Mit der zweiten Option lassen sich die Nutzerverzeichnisse /home und /run/user ebenfalls lesend einhängen, oder falls gewünscht, durch ein "leeres, unerreichbares Verzeichnis" ersetzen, so dass der Zugriff komplett unmöglich wird.

Mit den Patches für die eigentliche Funktion hat Poettering die Optionen auch für die eigenen langlebigen Systemd-Dienste aktiviert. Dies betrifft Localed, Logind, Machined, Networkd, den Udev-Dienst und weitere. Idealerweise, schreibt Poettering, werden die Optionen für alle langlebigen Dienste in Fedora umgesetzt. Das sollte die Sicherheit standardmäßig erhöhen, insbesondere für Netzwerkdienste.

In seiner Erklärung weist Poettering darauf hin, dass etwas Ähnliches bereits vorher möglich war. Die Idee der neuen Optionen sei jedoch, die Funktionen über einfache boolesche Werte nutzbar zu machen. Darüber hinaus können die Optionen natürlich nach wie vor von Diensten mit der Capability CAP_SYS_ADMIN rückgängig gemacht werden, was Administratoren bedenken sollten.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Hochschule Esslingen, Esslingen
  3. über Nash Direct GmbH, München/Ismaning
  4. via Nash Direct GmbH, Frankfurt


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. ab 649,90€

Folgen Sie uns
       


  1. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  2. Q6

    LGs abgespecktes G6 kostet 350 Euro

  3. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  4. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  5. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  6. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  7. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  8. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch

  9. Streaming

    Facebooks TV-Shows sollen im August starten

  10. Geldwäsche

    Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  2. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  3. Asus Das Zenbook Flip S ist 10,9 mm flach

Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  2. Microsoft Lautloses Surface Pro hält länger durch und bekommt LTE
  3. Microsoft Surface Laptop Vollwertiges Notebook mit eingeschränktem Windows

  1. Re: Der Illusionist

    oxybenzol | 18:28

  2. Re: Immer diese Abzock-Microtransactions

    violator | 18:26

  3. Re: Warum kein Hyperthreading?

    codeworkx | 18:26

  4. Re: Wenn ich immer lese wie einfach das Rooten...

    violator | 18:22

  5. Re: deutsche Version mal wieder geschnitten

    violator | 18:20


  1. 17:35

  2. 16:44

  3. 16:27

  4. 15:00

  5. 15:00

  6. 14:45

  7. 14:31

  8. 14:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel