システム化された動的ユーザーとユーザー

Question

DynamicUserより安全な理由は次のとおりです。

ProtectSystem=strict/dev/：APIファイルシステムサブツリーを/proc/除いて、ファイルシステム階層全体は読み取り専用としてマウントされます/sys/。
ProtectHome=read-only：ディレクトリ/home/とこのユニットを呼び出すプロセスは読み取り専用に設定されています/root。/run/user
PrivateTmp=yes：実行中のプロセスの新しいファイルシステム名前空間を設定し、名前空間外のプロセスで共有されていないプライベートディレクトリ/tmp/とディレクトリをマウントします。/var/tmp/これは一時ファイル処理へのアクセスを保護するのに役立ちますが、プロセス間の共有は/tmp/不可能です/var/tmp/。この機能を有効にすると、サービスが停止した後、そのディレクトリからサービスによって生成されたすべての一時ファイルが削除されます。
RemoveIPC=yes：デバイスのユーザーおよびグループプロセスが所有するすべてのSystem VおよびPOSIX IPCオブジェクトは、デバイスが停止したときに削除されたかのように実行されます。

これらの設定を使用するときは、明示的に設定してこれらの設定を模倣することで、効果User=的に同じ保護を得ることができます。

より良いアプローチDynamicUser=は、サービスインスタンスを作成することです。あなたfoo.socketがどんな用途にも使用すると仮定してくださいAccept=yes。この場合、誰かがソケットに接続するたびにfoo@%i.service新しいソケットが作成されます。各インスタンスには、DynamicUser=使用されると/tmp共有される独自の名前空間とディレクトリがあります。User=

Answer 1

DynamicUserより安全な理由は次のとおりです。

ProtectSystem=strict/dev/：APIファイルシステムサブツリーを/proc/除いて、ファイルシステム階層全体は読み取り専用としてマウントされます/sys/。
ProtectHome=read-only：ディレクトリ/home/とこのユニットを呼び出すプロセスは読み取り専用に設定されています/root。/run/user
PrivateTmp=yes：実行中のプロセスの新しいファイルシステム名前空間を設定し、名前空間外のプロセスで共有されていないプライベートディレクトリ/tmp/とディレクトリをマウントします。/var/tmp/これは一時ファイル処理へのアクセスを保護するのに役立ちますが、プロセス間の共有は/tmp/不可能です/var/tmp/。この機能を有効にすると、サービスが停止した後、そのディレクトリからサービスによって生成されたすべての一時ファイルが削除されます。
RemoveIPC=yes：デバイスのユーザーおよびグループプロセスが所有するすべてのSystem VおよびPOSIX IPCオブジェクトは、デバイスが停止したときに削除されたかのように実行されます。

これらの設定を使用するときは、明示的に設定してこれらの設定を模倣することで、効果User=的に同じ保護を得ることができます。

より良いアプローチDynamicUser=は、サービスインスタンスを作成することです。あなたfoo.socketがどんな用途にも使用すると仮定してくださいAccept=yes。この場合、誰かがソケットに接続するたびにfoo@%i.service新しいソケットが作成されます。各インスタンスには、DynamicUser=使用されると/tmp共有される独自の名前空間とディレクトリがあります。User=

システム化された動的ユーザーとユーザー

ベストアンサー1

おすすめ記事