Abo
  • Services:
Anzeige
Systemd bekommt einfach umzusetzende Sandbox-Optionen.
Systemd bekommt einfach umzusetzende Sandbox-Optionen. (Bild: Ben Tubby/CC-BY 2.0)

Linux: Weitere Sandbox-Funktionen für Systemd-Dienste

Über neue Optionen kann Systemd verhindern, dass Dienste das laufende System verändern oder auf die privaten Daten eines Nutzers zugreifen können. Entwickler Poettering wünscht sich die Umsetzung für alle langlebigen Dienste, auch außerhalb von Systemd.

Anzeige

Mit den mittlerweile als ProtectSystem= und ProtectHome= bezeichneten Einstellungen in Systemd ist es der Software möglich, bestimmten Diensten den Zugriff auf Ordner des Nutzers und des Systems komplett zu verwehren beziehungsweise diesen nur lesend zu erlauben.

Wie Entwickler Lennart Poettering auf Google+ erklärt, sorgt die erste Option dafür, dass die Verzeichnisse /usr, /boot sowie /etc für ausgewählte Dienste nur lesend eingehangen werden. Die Änderung betrifft damit nur jene Distributionen, die das neue Dateisystem-Layout in vollem Umfang übernommen haben. Mit der zweiten Option lassen sich die Nutzerverzeichnisse /home und /run/user ebenfalls lesend einhängen, oder falls gewünscht, durch ein "leeres, unerreichbares Verzeichnis" ersetzen, so dass der Zugriff komplett unmöglich wird.

Mit den Patches für die eigentliche Funktion hat Poettering die Optionen auch für die eigenen langlebigen Systemd-Dienste aktiviert. Dies betrifft Localed, Logind, Machined, Networkd, den Udev-Dienst und weitere. Idealerweise, schreibt Poettering, werden die Optionen für alle langlebigen Dienste in Fedora umgesetzt. Das sollte die Sicherheit standardmäßig erhöhen, insbesondere für Netzwerkdienste.

In seiner Erklärung weist Poettering darauf hin, dass etwas Ähnliches bereits vorher möglich war. Die Idee der neuen Optionen sei jedoch, die Funktionen über einfache boolesche Werte nutzbar zu machen. Darüber hinaus können die Optionen natürlich nach wie vor von Diensten mit der Capability CAP_SYS_ADMIN rückgängig gemacht werden, was Administratoren bedenken sollten.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. RZV Rechenzentrum Volmarstein GmbH, Wetter (Ruhr), Berlin, Bielefeld
  2. über Ratbacher GmbH, Raum Nürnberg
  3. MediaMarktSaturn Retail Concepts, München
  4. Bosch Software Innovations GmbH, Immenstaad


Anzeige
Blu-ray-Angebote
  1. 23,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hawaii Five-0, Call the Midwife, Blue Bloods)
  3. (u. a. Legend of Tarzan, Mad Max: Fury Road, Der Hobbit, Gravity)

Folgen Sie uns
       


  1. Streaming

    Akamai macht Videos mit Quic schneller

  2. United Internet

    1&1 bietet VDSL immer mehr über sein eigenes Netz an

  3. Videostreaming im Zug

    Maxdome umwirbt Bahnfahrer bei Tempo 230

  4. Synology FS1018

    Kleine Flashstation für SSDs und Adapterkarte für M.2-SSDs

  5. Reddit

    Drei Alpha-Profilseiten sind online

  6. Souq.com

    Amazon gibt 750 Millionen Dollar für Übernahme aus

  7. Let's Play

    Facebook ermöglicht Livevideos vom PC

  8. Ryzen-CPU

    Ach AMD!

  9. Sensor

    Mit dem Kopfpflaster Gefühle lesen

  10. Übernahme

    Apple kauft iOS-Automatisierungs-Tool Workflow



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

  1. Re: WLAN für alle nach meinen Erfahrungen unbrauchbar

    mainframe | 13:23

  2. Re: Noch zu ergänzen: Temperaturen

    Helites | 13:22

  3. Re: Keine Ahnung warum die Leute Probleme haben.....

    HubertHans | 13:21

  4. Re: Hm

    Hotohori | 13:21

  5. Re: 1&1 nicht zu empfehlen

    Kirmes | 13:20


  1. 13:18

  2. 12:28

  3. 12:05

  4. 11:46

  5. 11:30

  6. 10:35

  7. 10:06

  8. 09:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel