Von Verfluchtnochmal-05995bd7b am Mo, 27. Mai 2019 um 18:34 #
Arrogant ist Dinge zu kommentieren mit denen man sich nicht beschäftigt hat!
* DU hast in /usr/lib/systemd nichts anzufassen * Pakete haben in /etc/systemd nichts anzufassen
Warum?
Weil /etc Admin-Area ist und /usr OS-Area
Du kannst anders als mit initscripts in /etc/systemd/system komplette Units overriden, mit einem symlink auf /dev/null maskieren oder wenn du nur zusätzliche ExecStatPost, ExecStartPre, ExecStopPre bzw. Security-Optionen bracuhst in /etc/systemd/systemd/servicename.service.d/ dropins anlegen UND dabei gleichzeitig Updates von der Distribution nicht komplett aushebeln
Und komm jetzt nicht mit "aber ich will in /usr rumfummeln", ja mach es, aber komm nach dem nächsten Paketupdate nicht jammernd hier an!
Und solltest du ein paket finden welches Files in 7etc/systemd installiert schreib nen Bugreport und frag den Maintainer was ihm dabei einfällt klare Konzepte zu missachten
_______________
Sieht dann in der Praxis so aus womit slebst ein "su"-User nicht am System rumnuckeln kann, dazu gibt es SSH, beim ersten root-Exploit einer Software die wie zuletzt httpd über das Scoreboard privilege-escalation schafft weisst du warum
Anders ausgedrückt: "Wir haben alles Du brauchst, was wir nicht haben, brauchst Du nicht"
Die pure Arroganz.
Arrogant ist Dinge zu kommentieren mit denen man sich nicht beschäftigt hat!
* DU hast in /usr/lib/systemd nichts anzufassen
* Pakete haben in /etc/systemd nichts anzufassen
Warum?
Weil /etc Admin-Area ist und /usr OS-Area
Du kannst anders als mit initscripts in /etc/systemd/system komplette Units overriden, mit einem symlink auf /dev/null maskieren oder wenn du nur zusätzliche ExecStatPost, ExecStartPre, ExecStopPre bzw. Security-Optionen bracuhst in /etc/systemd/systemd/servicename.service.d/ dropins anlegen UND dabei gleichzeitig Updates von der Distribution nicht komplett aushebeln
Und komm jetzt nicht mit "aber ich will in /usr rumfummeln", ja mach es, aber komm nach dem nächsten Paketupdate nicht jammernd hier an!
Und solltest du ein paket finden welches Files in 7etc/systemd installiert schreib nen Bugreport und frag den Maintainer was ihm dabei einfällt klare Konzepte zu missachten
_______________
Sieht dann in der Praxis so aus womit slebst ein "su"-User nicht am System rumnuckeln kann, dazu gibt es SSH, beim ersten root-Exploit einer Software die wie zuletzt httpd über das Scoreboard privilege-escalation schafft weisst du warum
[root@localhost:~]$ cat /etc/systemd/system/display-manager.service.d/security.conf
[Service]
CapabilityBoundingSet=~CAP_AUDIT_CONTROL CAP_AUDIT_WRITE CAP_SYS_BOOT CAP_SYS_PTRACE
RestrictAddressFamilies=AF_INET AF_INET6 AF_LOCAL AF_UNIX AF_NETLINK
SystemCallFilter=~@clock @cpu-emulation @obsolete @reboot @swap
PrivateTmp=yes
ProtectControlGroups=yes
ProtectKernelTunables=yes
TasksMax=768
ProtectSystem=full
ReadWritePaths=-/etc/mtab
ReadWritePaths=-/usr/local/Zend
ReadOnlyPaths=-/var/lib/dhclient
ReadOnlyPaths=-/var/lib/dhcpd
ReadOnlyPaths=-/var/lib/dnf
ReadOnlyPaths=-/var/lib/dnsmasq
ReadOnlyPaths=-/var/lib/dovecot
ReadOnlyPaths=-/var/lib/letsencrypt
ReadOnlyPaths=-/var/lib/logrotate
ReadOnlyPaths=-/var/lib/mlocate
ReadOnlyPaths=-/var/lib/mysql
ReadOnlyPaths=-/var/lib/nfs
ReadOnlyPaths=-/var/lib/rkhunter
ReadOnlyPaths=-/var/lib/rpm
ReadOnlyPaths=-/var/lib/rpm-state
ReadOnlyPaths=-/var/lib/rsyslog
ReadOnlyPaths=-/var/lib/samba
ReadOnlyPaths=-/var/lib/smokeping
ReadOnlyPaths=-/var/lib/vnstat
ReadOnlyPaths=-/dev/sda
ReadOnlyPaths=-/dev/sda1
ReadOnlyPaths=-/dev/sda2
ReadOnlyPaths=-/dev/sda3
ReadOnlyPaths=-/dev/sdb
ReadOnlyPaths=-/dev/sdb1
ReadOnlyPaths=-/dev/sdb2
ReadOnlyPaths=-/dev/sdb3
ReadOnlyPaths=-/dev/sdc
ReadOnlyPaths=-/dev/sdc1
ReadOnlyPaths=-/dev/sdc2
ReadOnlyPaths=-/dev/sdc3
ReadOnlyPaths=-/dev/sdd
ReadOnlyPaths=-/dev/sdd1
ReadOnlyPaths=-/dev/sdd2
ReadOnlyPaths=-/dev/sdd3
ReadOnlyPaths=-/dev/md0
ReadOnlyPaths=-/dev/md1
ReadOnlyPaths=-/dev/md2
InaccessiblePaths=-/etc/ssh/ssh_host_dsa_key
InaccessiblePaths=-/etc/ssh/ssh_host_dsa_key.pub
InaccessiblePaths=-/etc/ssh/ssh_host_ecdsa_key
InaccessiblePaths=-/etc/ssh/ssh_host_ecdsa_key.pub
InaccessiblePaths=-/etc/ssh/ssh_host_ed25519_key
InaccessiblePaths=-/etc/ssh/ssh_host_ed25519_key.pub
InaccessiblePaths=-/etc/ssh/ssh_host_rsa_key
InaccessiblePaths=-/etc/ssh/ssh_host_rsa_key.pub