Abo
  • Services:
Anzeige
Systemd bekommt einfach umzusetzende Sandbox-Optionen.
Systemd bekommt einfach umzusetzende Sandbox-Optionen. (Bild: Ben Tubby/CC-BY 2.0)

Linux: Weitere Sandbox-Funktionen für Systemd-Dienste

Über neue Optionen kann Systemd verhindern, dass Dienste das laufende System verändern oder auf die privaten Daten eines Nutzers zugreifen können. Entwickler Poettering wünscht sich die Umsetzung für alle langlebigen Dienste, auch außerhalb von Systemd.

Anzeige

Mit den mittlerweile als ProtectSystem= und ProtectHome= bezeichneten Einstellungen in Systemd ist es der Software möglich, bestimmten Diensten den Zugriff auf Ordner des Nutzers und des Systems komplett zu verwehren beziehungsweise diesen nur lesend zu erlauben.

Wie Entwickler Lennart Poettering auf Google+ erklärt, sorgt die erste Option dafür, dass die Verzeichnisse /usr, /boot sowie /etc für ausgewählte Dienste nur lesend eingehangen werden. Die Änderung betrifft damit nur jene Distributionen, die das neue Dateisystem-Layout in vollem Umfang übernommen haben. Mit der zweiten Option lassen sich die Nutzerverzeichnisse /home und /run/user ebenfalls lesend einhängen, oder falls gewünscht, durch ein "leeres, unerreichbares Verzeichnis" ersetzen, so dass der Zugriff komplett unmöglich wird.

Mit den Patches für die eigentliche Funktion hat Poettering die Optionen auch für die eigenen langlebigen Systemd-Dienste aktiviert. Dies betrifft Localed, Logind, Machined, Networkd, den Udev-Dienst und weitere. Idealerweise, schreibt Poettering, werden die Optionen für alle langlebigen Dienste in Fedora umgesetzt. Das sollte die Sicherheit standardmäßig erhöhen, insbesondere für Netzwerkdienste.

In seiner Erklärung weist Poettering darauf hin, dass etwas Ähnliches bereits vorher möglich war. Die Idee der neuen Optionen sei jedoch, die Funktionen über einfache boolesche Werte nutzbar zu machen. Darüber hinaus können die Optionen natürlich nach wie vor von Diensten mit der Capability CAP_SYS_ADMIN rückgängig gemacht werden, was Administratoren bedenken sollten.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt
  2. Ratbacher GmbH, Aschaffenburg (Home-Office)
  3. Robert Bosch GmbH, Abstatt
  4. SQS Software Quality Systems AG, Frankfurt, deutschlandweit


Anzeige
Hardware-Angebote
  1. 444,00€ + 4,99€ Versand
  2. (täglich neue Deals)
  3. auf Kameras und Objektive

Folgen Sie uns
       


  1. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz

  2. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  3. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  4. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant

  5. BMW Motorrad Concept Link

    Auch BMW plant Elektromotorrad

  6. Solar Roof

    Teslas Sonnendachziegel bis Ende 2018 ausverkauft

  7. Cortex-A75

    ARM bringt CPU-Kern für Windows-10-Geräte

  8. Cortex-A55

    ARMs neuer kleiner Lieblingskern

  9. Mali-G72

    ARMs Grafikeinheit für Deep-Learning-Smartphones

  10. Service

    Telekom verspricht kürzeres Warten auf Techniker



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Ich wünsche mir eine Tastatur...

    ChoMar | 09:59

  2. Re: 1400W... für welche Hardware?

    Dwalinn | 09:59

  3. Re: USB wäre sicherer

    Bouncy | 09:59

  4. Beweisen muss man das nicht unbedingt

    Sharra | 09:58

  5. Re: Akkuproblem noch viel schlimmer als bei PKW!

    Niaxa | 09:57


  1. 09:53

  2. 09:12

  3. 09:10

  4. 08:57

  5. 08:08

  6. 07:46

  7. 06:00

  8. 06:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel