Abo
  • Services:

Linux: Weitere Sandbox-Funktionen für Systemd-Dienste

Über neue Optionen kann Systemd verhindern, dass Dienste das laufende System verändern oder auf die privaten Daten eines Nutzers zugreifen können. Entwickler Poettering wünscht sich die Umsetzung für alle langlebigen Dienste, auch außerhalb von Systemd.

Artikel veröffentlicht am ,
Systemd bekommt einfach umzusetzende Sandbox-Optionen.
Systemd bekommt einfach umzusetzende Sandbox-Optionen. (Bild: Ben Tubby/CC-BY 2.0)

Mit den mittlerweile als ProtectSystem= und ProtectHome= bezeichneten Einstellungen in Systemd ist es der Software möglich, bestimmten Diensten den Zugriff auf Ordner des Nutzers und des Systems komplett zu verwehren beziehungsweise diesen nur lesend zu erlauben.

Stellenmarkt
  1. matrix technology AG, München
  2. Fresenius Netcare GmbH, Bad Homburg vor der Höhe

Wie Entwickler Lennart Poettering auf Google+ erklärt, sorgt die erste Option dafür, dass die Verzeichnisse /usr, /boot sowie /etc für ausgewählte Dienste nur lesend eingehangen werden. Die Änderung betrifft damit nur jene Distributionen, die das neue Dateisystem-Layout in vollem Umfang übernommen haben. Mit der zweiten Option lassen sich die Nutzerverzeichnisse /home und /run/user ebenfalls lesend einhängen, oder falls gewünscht, durch ein "leeres, unerreichbares Verzeichnis" ersetzen, so dass der Zugriff komplett unmöglich wird.

Mit den Patches für die eigentliche Funktion hat Poettering die Optionen auch für die eigenen langlebigen Systemd-Dienste aktiviert. Dies betrifft Localed, Logind, Machined, Networkd, den Udev-Dienst und weitere. Idealerweise, schreibt Poettering, werden die Optionen für alle langlebigen Dienste in Fedora umgesetzt. Das sollte die Sicherheit standardmäßig erhöhen, insbesondere für Netzwerkdienste.

In seiner Erklärung weist Poettering darauf hin, dass etwas Ähnliches bereits vorher möglich war. Die Idee der neuen Optionen sei jedoch, die Funktionen über einfache boolesche Werte nutzbar zu machen. Darüber hinaus können die Optionen natürlich nach wie vor von Diensten mit der Capability CAP_SYS_ADMIN rückgängig gemacht werden, was Administratoren bedenken sollten.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 16,99€
  3. 2,29€

Folgen Sie uns
       


Im Wind flatterndes AMOLED angesehen (Display Week)

Auf der Display Week 2018 in Los Angeles zeigt der chinesische Hersteller BOE ein im Wind flatterndes AMOLED.

Im Wind flatterndes AMOLED angesehen (Display Week) Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Control Remedy Entertainment mit übersinnlichen Räumen
  2. Smach Z ausprobiert Neuer Blick auf das Handheld für PC-Spieler
  3. The Division 2 angespielt Action rund um Air Force One

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


      •  /