Systemd Steuern des Geräteknotenzugriffs auf Dienste
Zur Navigation springen
Zur Suche springen
- Geräteknoten sind eine wichtige Schnittstelle zum Kernel und seinen Treibern. Da Treiber in der Regel viel weniger Tests und Sicherheitsüberprüfungen unterzogen werden als der Kernel, sind sie oft ein wichtiger Einstiegspunkt für Sicherheitshacks.
- Mit systemd können Sie den Zugriff auf Geräte für jeden Dienst einzeln steuern:
... [Service] ExecStart=... DeviceAllow=/dev/null rw ...
- Dadurch wird der Zugriff auf /dev/null und nur auf diesen Geräteknoten beschränkt und der Zugriff auf alle anderen Geräteknoten gesperrt.
- Die Funktion wird auf dem cgroup-Controller des Geräts implementiert.