Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Peter Steinberger, autor OpenClaw, nastupuje do OpenAI

dnes 12:44 | IT novinky

Peter Steinberger, autor open source AI asistenta OpenClaw, nastupuje do OpenAI. OpenClaw bude převeden pod nadaci a zůstane otevřený a nezávislý.

Ladislav Hagara | Komentářů: 0

Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků za rok 2025

dnes 03:11 | Zajímavý článek

Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků používaných ve svých datových centrech za rok 2025. Ke konci roku 2025 vlastnila 349 462 pevných disků. Průměrná AFR (Annualized Failure Rate), tj. pravděpodobnost, že disk během roku selže, byla 1,36 %. V roce 2024 to bylo 1,57 %. V roce 2023 to bylo 1,70 %. V roce 2022 to bylo 1,37 %.

Ladislav Hagara | Komentářů: 5

Prohlížeč SQL provozu sql-tap

včera 21:55 | Zajímavý software

Nástroj sql-tap je proxy mezi aplikací a databází, které zachytává všechny SQL dotazy a zobrazuje je v terminálovém rozhraní. Zde lze téměř v reálném čase zkoumat dotazy, sledovat transakce a spouštět SQL příkaz EXPLAIN. Podporované databázové systémy jsou pouze PostgreSQL a MySQL. Zdrojový kód je dostupný na GitHubu, pod licencí MIT.

NUKE GAZA! 🎆 | Komentářů: 0

Vim 9.2

včera 13:55 | Nová verze

Byla vydána nová verze 9.2 textového editoru Vim (Vi IMproved). Přináší vylepšené doplňování, podporu schránky ve Waylandu, podporu XDG Base Directory (konfigurace v $HOME/.config/vim), vylepšené Vim9 skriptování nebo lepší zvýrazňování změn. Vim zůstává charityware. Nadále vybízí k podpoře dětí v Ugandě. Z důvodu úmrtí autora Vimu Brama Moolenaara a ukončení činnosti jím založené charitativní organizace ICCF Holland projekt Vim navázal spolupráci s charitativní organizaci Kuwasha.

Ladislav Hagara | Komentářů: 2

ASCII editor MonoSketch

14.2. 12:33 | Zajímavý projekt

Byl představen editor MonoSketch, webová aplikace pro tvorbu diagramů, technických nákresů, flowchartů a různých dalších vizualizací, to vše jenom z ASCII znaků. Všechny operace běží pouze v prohlížeči uživatele a neprobíhá tedy žádné nahrávání dat na server. Zdrojový kód aplikace (drtivá většina Kotlin, žádné C#) je dostupný na GitHubu pod licencí Apache 2.0.

NUKE GAZA! 🎆 | Komentářů: 1

G'MIC 3.7.0

14.2. 12:22 | Nová verze

Byla vydána nová verze 3.7.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy nových filtrů na PIXLS.US.

Ladislav Hagara | Komentářů: 0

Valentýn aneb Den lásky ke svobodnému softwaru

14.2. 05:00 | Komunita

Všem na AbcLinuxu vše nejlepší k Valentýnu aneb Dni lásky ke svobodnému softwaru (I love Free Software Day, Mastodon, 𝕏).

Ladislav Hagara | Komentářů: 9

Pebble Emulator

13.2. 19:44 | Zajímavý projekt

Eric Migicovsky představil Pebble Emulator, tj. emulátor hodinek Pebble (PebbleOS) běžící ve webovém prohlížeči. Za 6 hodin jej napsal Claude Code. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0

Flutter 3.41 a Dart 3.11

13.2. 17:44 | Nová verze

Byla vydána nová verze 3.41 frameworku Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací a nová verze 3.11 souvisejícího programovacího jazyka Dart (Wikipedie).

Ladislav Hagara | Komentářů: 0

Rusko zcela zablokovalo aplikaci WhatsApp, lidem doporučuje domácí platformu MAX

13.2. 12:11 | IT novinky

Rusko zcela zablokovalo komunikační platformu WhatsApp, řekl včera mluvčí Kremlu Dmitrij Peskov. Aplikace, jejímž vlastníkem je americká společnost Meta Platforms a která má v Rusku na 100 milionů uživatelů, podle Peskova nedodržovala ruské zákony. Mluvčí zároveň lidem v Rusku doporučil, aby začali používat domácí aplikaci MAX. Kritici tvrdí, že tato aplikace ruské vládě umožňuje lidi sledovat, což úřady popírají.

Ladislav Hagara | Komentářů: 27

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Štítky: bezpečnost, Docker, chroot, jeho, logování, omezení, systemd

Dotaz: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

5.6.2023 08:02 Alf
Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Přečteno: 536×

Odpovědět | Admin

Ahojte,

plánuji nějaké úpravy pro nasazení nějakých služeb a chtěl bychom bych začít používat více systemd a jeho omezení aplikace/přístupů. Trošku jsem se na začátku zasekl na logování a na možnosti spouštět službu ve více instancích (opravdu je to v systemd dost omezené -> ale nakonec se to nějak podařilo) Následně jsem narazil na začátku omezování aplikace a dost tvrdě. V principu bych chtěl aplikaci dát něco jako chroot a omezit přístup/viditelnost a připojit jen nějaké konkrétní adresáře.

PrivateUsers=true
ProtectHome=yes
#%i is instance id
BindPaths=/home/user/userdata/%i/
ReadWritePaths=/home/user/userdata/%i/

nebo ve variantě s omezením přístupu k /usr/bin a povolení přístup k ls

PrivateUsers=true
ProtectSystem=strict
InaccessiblePaths=/usr/bin
BindPaths=/usr/bin/ls
ReadOnlyPaths=/usr/bin/ls

Bohužel ani jedna věc se zdá, že nefunguje, jelikož se prostě přípojí /usr/bin jako tmpfs a nic více následně. Víte někdo jak to má fungovat/ používáte to někdo? Ještě jedna informace, pokud použiji ProtectHome=read-only > tak to funguje, ale to je vcelku k ničemu, jelikož ta služba může do home, kam se jí zlíbí... Ještě jedna důležitá věc -> jedná se o službu uživatele, tzn systemctl --user.

Nerad bych musel používat docker...

Nástroje: Začni sledovat (0) ?

Odpovědi

5.6.2023 10:48 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Pokud chces neco jako chroot, tak ta direktiva je RootDirectory.

6.6.2023 06:11 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

No chtěl bych zakázat přístup k některé složce a následně v ní povolit podsložku. RootDirectory imho není to co konkrétně hledám, jelikož to opravdu přehodí / na to místo, tzn není přístup nikam a je potřeba řešit závislosti? Tzn to už je lepší docker ;)

6.6.2023 06:14 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Tzn > zakázat např. /usr/bin ale povolit tam např. /usr/bin/ls. Tzn blacklist na vše ve složce a whitelist na konkrétní věci ve složce... Nejsem si jistý, zda to dává smysl.

6.6.2023 13:31 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Nedava. Proto bude lepsi kdyz napises o co se to vlastne pokousis.

6.6.2023 18:15 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Prostě co nejvíce omezit službu co bude běžet. Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné. Něco podobného jako v Dockeru. Rád bych prostě omezit ty služby a dovolit jim přístup pouze ke konkrétním složkám/souborům.

6.6.2023 23:31 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Ideálně tak aby nebyly dostupné ostatní aplikace v /usr/bin a některé konkrétní (např. /usr/bin/ls) zůstaly přímo dostupné.

Pekna blbost.

7.6.2023 05:18 Alf
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Proč? Omezuje to značně jakýkoliv dopad pokud bude s aplikací problém? Ideálně bych to chtěl omezit co to půjde.

7.6.2023 08:42 X
Rozbalit Rozbalit vše Re: Systemd - ProtectHome=yes nebo InaccessiblePaths=/usr/bin vs ReadWritePaths a BindPaths

Protoze k tomu neni zadny duvod. Bud je ta "aplikace" hodne spatne napsana(podle meho nazoru si vymyslis a nic nemas), nebo mas silnou paranoiu. Oboji je ztrata casu.

Založit nové vlákno • Nahoru

Tiskni Sdílej: