• IT-Karriere:
  • Services:

Linux: Weitere Sandbox-Funktionen für Systemd-Dienste

Über neue Optionen kann Systemd verhindern, dass Dienste das laufende System verändern oder auf die privaten Daten eines Nutzers zugreifen können. Entwickler Poettering wünscht sich die Umsetzung für alle langlebigen Dienste, auch außerhalb von Systemd.

Artikel veröffentlicht am ,
Systemd bekommt einfach umzusetzende Sandbox-Optionen.
Systemd bekommt einfach umzusetzende Sandbox-Optionen. (Bild: Ben Tubby/CC-BY 2.0)

Mit den mittlerweile als ProtectSystem= und ProtectHome= bezeichneten Einstellungen in Systemd ist es der Software möglich, bestimmten Diensten den Zugriff auf Ordner des Nutzers und des Systems komplett zu verwehren beziehungsweise diesen nur lesend zu erlauben.

Stellenmarkt
  1. imbus AG, verschiedene Standorte
  2. HYDRO Systems KG, Biberach

Wie Entwickler Lennart Poettering auf Google+ erklärt, sorgt die erste Option dafür, dass die Verzeichnisse /usr, /boot sowie /etc für ausgewählte Dienste nur lesend eingehangen werden. Die Änderung betrifft damit nur jene Distributionen, die das neue Dateisystem-Layout in vollem Umfang übernommen haben. Mit der zweiten Option lassen sich die Nutzerverzeichnisse /home und /run/user ebenfalls lesend einhängen, oder falls gewünscht, durch ein "leeres, unerreichbares Verzeichnis" ersetzen, so dass der Zugriff komplett unmöglich wird.

Mit den Patches für die eigentliche Funktion hat Poettering die Optionen auch für die eigenen langlebigen Systemd-Dienste aktiviert. Dies betrifft Localed, Logind, Machined, Networkd, den Udev-Dienst und weitere. Idealerweise, schreibt Poettering, werden die Optionen für alle langlebigen Dienste in Fedora umgesetzt. Das sollte die Sicherheit standardmäßig erhöhen, insbesondere für Netzwerkdienste.

In seiner Erklärung weist Poettering darauf hin, dass etwas Ähnliches bereits vorher möglich war. Die Idee der neuen Optionen sei jedoch, die Funktionen über einfache boolesche Werte nutzbar zu machen. Darüber hinaus können die Optionen natürlich nach wie vor von Diensten mit der Capability CAP_SYS_ADMIN rückgängig gemacht werden, was Administratoren bedenken sollten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)
  2. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)
  3. (u. a. Microsoft Surface Book 2 Convertible mit 13,5 Zoll Display i5-8350U 256GB SSD für 1.258...
  4. 99,99€ (Vergleichspreis 198€)

Folgen Sie uns
       


Streaming: Amazon zeigt zwei neue Fire TV Sticks
Streaming
Amazon zeigt zwei neue Fire TV Sticks

Amazon erweitert das Sortiment der Fire TV Sticks. Der Einstieg in die Streaming-Welt wird noch mal preisgünstiger.

  1. Streaming Neuer Fire TV Stick soll veränderte Fernbedienung erhalten

Geforce RTX 3090 ausverkauft: Einmal Frust für 1.500 Euro, bitte!
Geforce RTX 3090 ausverkauft
Einmal Frust für 1.500 Euro, bitte!

Erst Vorfreude, dann Ernüchterung und Wut: Der Kauf der Geforce-RTX-3090-Grafikkarte wird zu einer Reise ohne Ziel, dafür mit Emotionen.
Ein IMHO von Oliver Nickel

  1. Ampere-Grafikkarten Kondensatoren sind der Grund für instabile Geforce RTX 3080

Facebook, Twitter und Youtube: Propaganda, Hetze und Manipulation
Facebook, Twitter und Youtube
Propaganda, Hetze und Manipulation

Immer stärker wird im US-Wahlkampf mit Falschnachrichten, Social Bots und politischen Influencern auf Facebook, Twitter oder Youtube um Wähler gebuhlt.
Eine Analyse von Sabrina Keßler

  1. Rechtsextremismus Wie QAnon zum größten Verschwörungsmythos wurde

    •  /