https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Systemd_Isolieren_von_Diensten_vom_NetzwerkSystemd Isolieren von Diensten vom Netzwerk - Versionsgeschichte2026-06-29T06:04:49ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Systemd_Isolieren_von_Diensten_vom_Netzwerk&diff=39401&oldid=prevThomas.will: Die Seite wurde neu angelegt: „ *Eine sehr einfache, aber leistungsstarke Konfigurationsoption, die Sie in systemd-Dienstdefinitionen verwenden können, ist PrivateNetwork=: ... [Service]…“2023-01-10T14:44:34Z<p>Die Seite wurde neu angelegt: „ *Eine sehr einfache, aber leistungsstarke Konfigurationsoption, die Sie in systemd-Dienstdefinitionen verwenden können, ist PrivateNetwork=: ... [Service]…“</p>
<p><b>Neue Seite</b></p><div><br />
*Eine sehr einfache, aber leistungsstarke Konfigurationsoption, die Sie in systemd-Dienstdefinitionen verwenden können, ist PrivateNetwork=:<br />
<br />
...<br />
[Service]<br />
ExecStart=...<br />
PrivateNetwork=yes<br />
...<br />
<br />
*Mit diesem einfachen Schalter wird ein Dienst und alle Prozesse, aus denen er besteht, vollständig von jeglicher Art der Vernetzung getrennt.<br />
*Netzwerkschnittstellen sind für die Prozesse nicht mehr verfügbar, die einzige, die sie sehen, ist das Loopback-Gerät "lo", aber es ist vom echten Host-Loopback isoliert. <br />
*Dies ist ein sehr leistungsfähiger Schutz vor Netzwerkangriffen.<br />
<br />
*Vorbehalt: Einige Dienste erfordern, dass das Netzwerk betriebsbereit ist. Natürlich würde niemand in Betracht ziehen, PrivateNetwork=yes auf einem netzwerkorientierten Dienst wie Apache zu verwenden. <br />
*Aber auch für nicht netzwerkorientierte Dienste kann Netzwerkunterstützung notwendig und nicht immer selbstverständlich sein.<br />
*Beispiel: Wenn das lokale System für eine LDAP-basierte Benutzerdatenbank konfiguriert ist, kann das Suchen von Glibc-Namen mit Aufrufen wie getpwnam() zu einem Netzwerkzugriff führen. Das heißt, selbst in diesen Fällen ist es meistens in Ordnung, PrivateNetwork=yes zu verwenden, da Benutzer-IDs von Systemdienstbenutzern auch ohne Netzwerk auflösbar sein müssen. <br />
*Das heißt, solange die einzigen Benutzer-IDs, die Ihr Dienst auflösen muss, unter der magischen Grenze von 1000 liegen, sollte die Verwendung von PrivateNetwork=yes in Ordnung sein.<br />
<br />
*Intern verwendet dieses Feature Netzwerknamensräume des Kernels. <br />
*Wenn aktiviert, wird ein neuer Netzwerk-Namespace geöffnet und nur das Loopback-Gerät darin konfiguriert.</div>Thomas.will