https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Systemd_absichern Systemd absichern - Versionsgeschichte 2026-06-29T06:16:38Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Systemd_absichern&diff=39420&oldid=prev Thomas.will: Die Seite wurde neu angelegt: „ *Diese systemd-Funktionen wurden so konzipiert, dass sie so einfach wie möglich zu verwenden sind, um sie für Administratoren und Upstream-Entwickler attrak…“ 2023-01-10T14:50:46Z <p>Die Seite wurde neu angelegt: „ *Diese systemd-Funktionen wurden so konzipiert, dass sie so einfach wie möglich zu verwenden sind, um sie für Administratoren und Upstream-Entwickler attrak…“</p> <p><b>Neue Seite</b></p><div><br /> *Diese systemd-Funktionen wurden so konzipiert, dass sie so einfach wie möglich zu verwenden sind, um sie für Administratoren und Upstream-Entwickler attraktiv zu machen:<br /> <br /> *Isolieren von Diensten vom Netzwerk<br /> *Service-private /tmp<br /> *Verzeichnisse als schreibgeschützt oder für Dienste unzugänglich erscheinen lassen<br /> *Funktionen von Diensten wegnehmen<br /> *Verbieten von Forking, Einschränkung der Dateierstellung für Dienste<br /> *Steuern des Geräteknotenzugriffs auf Dienste<br /> <br /> ;Alle hier beschriebenen Optionen sind in den Manpages von systemd dokumentiert, insbesondere in systemd.exec(5)<br /> <br /> *Alle diese Optionen sind auf allen systemd-Systemen verfügbar, unabhängig davon, ob SELinux oder ein anderer MAC aktiviert ist oder nicht.<br /> *Alle diese Optionen sind relativ günstig, also nutze sie im Zweifelsfall. <br /> *Auch wenn Sie denken, dass Ihr Dienst nicht in /tmp schreibt und daher die Aktivierung von PrivateTmp=yes (wie unten beschrieben) möglicherweise nicht erforderlich ist, ist es aufgrund der heutigen komplexen Software immer noch vorteilhaft, diese Funktion zu aktivieren, einfach weil Sie auf Bibliotheken verlinken (und Plug-Ins für diese Bibliotheken), die Sie nicht kontrollieren, benötigen möglicherweise doch temporäre Dateien. Beispiel: Sie wissen nie, welche Art von NSS-Modul Ihre lokale Installation aktiviert hat und was dieses NSS-Modul mit /tmp macht.<br /> <br /> *Diese Optionen sind hoffentlich sowohl für Administratoren interessant, um ihre lokalen Systeme zu sichern, als auch für Upstream-Entwickler, um ihre Dienste standardmäßig sicher bereitzustellen. Wir empfehlen Upstream-Entwicklern dringend, diese Optionen standardmäßig in ihren Upstream-Serviceeinheiten zu verwenden.<br /> *Sie sind sehr einfach zu bedienen und bieten große Vorteile für die Sicherheit.</div> Thomas.will