Přihlášení | Registrace

napište » Zprávičky

Ruby 4.0.0

včera 14:44 | Nová verze

Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

Ladislav Hagara | Komentářů: 0

Krásné Vánoce

24.12. 02:11 | Komunita

Všem čtenářkám a čtenářům AbcLinuxu krásné Vánoce.

Ladislav Hagara | Komentářů: 20

Parrot OS 7.0

24.12. 02:00 | Nová verze

Byla vydána nová verze 7.0 linuxové distribuce Parrot OS (Wikipedie). S kódovým názvem Echo. Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

postmarketOS 25.12

23.12. 18:33 | Nová verze

Vývojáři postmarketOS vydali verzi 25.12 tohoto před osmi lety představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME Shell on Mobile, KDE Plasma Mobile, Phosh a Sxmo.

Ladislav Hagara | Komentářů: 0

mpv 0.41.0

23.12. 13:55 | Nová verze

Byla vydána nová verze 0.41.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 6.1 nebo novější a také libplacebo 6.338.2 nebo novější.

Ladislav Hagara | Komentářů: 0

Lua 5.5

23.12. 12:44 | Nová verze

Byla vydána nová verze 5.5 (novinky) skriptovacího jazyka Lua (Wikipedie). Po pěti a půl letech od vydání verze 5.4.

Ladislav Hagara | Komentářů: 0

darktable 5.4.0

22.12. 23:44 | Nová verze

Byla vydána nová verze 5.4.0 programu na úpravu digitálních fotografií darktable (Wikipedie). Z novinek lze vypíchnout vylepšenou podporu Waylandu. Nejnovější darktable by měl na Waylandu fungovat stejně dobře jako na X11.

Ladislav Hagara | Komentářů: 0

Linux Mint 22.3 Zena – Beta

21.12. 05:00 | Nová verze

Byla vydána beta verze Linux Mintu 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 2

GNU Project Debugger aneb GDB 17.1

21.12. 01:55 | Nová verze

GNU Project Debugger aneb GDB byl vydán ve verzi 17.1. Podrobný přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 0

CAD soubory rámů tiskáren Prusa CORE One a CORE One L pod novou licencí OCL neboli Open Community License

19.12. 17:22 | IT novinky

Josef Průša oznámil zveřejnění kompletních CAD souborů rámů tiskáren Prusa CORE One a CORE One L. Nejsou vydány pod obecnou veřejnou licenci GNU ani Creative Commons ale pod novou licencí OCL neboli Open Community License. Ta nepovoluje prodávat kompletní tiskárny či remixy založené na těchto zdrojích.

Ladislav Hagara | Komentářů: 14

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (34%)

Santa Claus (2%)

Děda Mráz (10%)

La Befana (2%)

Odin (1%)

Laskakit (2%)

Někdo z rodiny (16%)

Já sám (19%)

Nikdo (13%)

Celkem 89 hlasů

Komentářů: 18, poslední 24.12. 15:30

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Štítky: bezpečnost, Docker, chroot, jeho, logování, omezení, systemd

Dotaz: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

5.6.2023 08:02 Alf
Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Přečteno: 529×

Odpovědět | Admin

Ahojte,

plánuji nějaké úpravy pro nasazení nějakých služeb a chtěl bychom bych začít používat více systemd a jeho omezení aplikace/přístupů. Trošku jsem se na začátku zasekl na logování a na možnosti spouštět službu ve více instancích (opravdu je to v systemd dost omezené -> ale nakonec se to nějak podařilo) Následně jsem narazil na začátku omezování aplikace a dost tvrdě. V principu bych chtěl aplikaci dát něco jako chroot a omezit přístup/viditelnost a připojit jen nějaké konkrétní adresáře.

PrivateUsers=true
ProtectHome=yes
#%i is instance id
BindPaths=/home/user/userdata/%i/
ReadWritePaths=/home/user/userdata/%i/

nebo ve variantě s omezením přístupu k /usr/bin a povolení přístup k ls

PrivateUsers=true
ProtectSystem=strict
InaccessiblePaths=/usr/bin
BindPaths=/usr/bin/ls
ReadOnlyPaths=/usr/bin/ls

Bohužel ani jedna věc se zdá, že nefunguje, jelikož se prostě přípojí /usr/bin jako tmpfs a nic více následně. Víte někdo jak to má fungovat/ používáte to někdo? Ještě jedna informace, pokud použiji ProtectHome=read-only > tak to funguje, ale to je vcelku k ničemu, jelikož ta služba může do home, kam se jí zlíbí... Ještě jedna důležitá věc -> jedná se o službu uživatele, tzn systemctl --user.

Nerad bych musel používat docker...

Nástroje: Začni sledovat (0) ?

Odpovědi

5.6.2023 10:48 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Pokud chces neco jako chroot, tak ta direktiva je RootDirectory.

6.6.2023 06:11 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

No chtěl bych zakázat přístup k některé složce a následně v ní povolit podsložku. RootDirectory imho není to co konkrétně hledám, jelikož to opravdu přehodí / na to místo, tzn není přístup nikam a je potřeba řešit závislosti? Tzn to už je lepší docker ;)

6.6.2023 06:14 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Tzn > zakázat např. /usr/bin ale povolit tam např. /usr/bin/ls. Tzn blacklist na vše ve složce a whitelist na konkrétní věci ve složce... Nejsem si jistý, zda to dává smysl.

6.6.2023 13:31 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Nedava. Proto bude lepsi kdyz napises o co se to vlastne pokousis.

6.6.2023 18:15 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Prostě co nejvíce omezit službu co bude běžet. Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné. Něco podobného jako v Dockeru. Rád bych prostě omezit ty služby a dovolit jim přístup pouze ke konkrétním složkám/souborům.

6.6.2023 23:31 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné.

Pekna blbost.

7.6.2023 05:18 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Proč? Omezuje to značně jakýkoliv dopad pokud bude s aplikací problém? Ideálně bych to chtěl omezit co to půjde.

7.6.2023 08:42 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Protoze k tomu neni zadny duvod. Bud je ta "aplikace" hodne spatne napsana(podle meho nazoru si vymyslis a nic nemas), nebo mas silnou paranoiu. Oboji je ztrata casu.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje