Von Verfluchtnochmal_5987108 am Sa, 5. Oktober 2019 um 17:21 #
Faszinierend wie wenig Ahnung man haben kann und wie laut man das raus schreien muss! Die namespaces machen weder docker noch systemd selbst, das sind lediglich Schnittstellen zum Kernel
Sorry, aber wer 2019 noch initscripts benutzt hat sich in die falsche Branche verlaufen
Vor allem in Kombination mit PermissionsStartOnly kannst du damit in ExecStartPre und ExecStopPost mit vollem root Rechten agieren und den eigentlichen Dienst trotzdem maximal einschränken
Einfach mal RTFM und in 2019 ankommen bevor es vorbei ist
Ein systemd unit? ????????????
Ja, eine systemd unit entspricht in etwas 10 Kilo systemkritsche Kernelbugs. Der Umrechnungskurs ist schon lange stabil. Ist ja kein Bitcoin.
Faszinierend wie wenig Ahnung man haben kann und wie laut man das raus schreien muss! Die namespaces machen weder docker noch systemd selbst, das sind lediglich Schnittstellen zum Kernel
Sorry, aber wer 2019 noch initscripts benutzt hat sich in die falsche Branche verlaufen
Noch nie gesehen?
ProtectSystem, ProtectHome, ProtectControlGroups, ProtectKernelModules, ReadOnlyPaths, ReadWritePath, InaccessiblePaths, LockPersonality, NoNewPrivileges, PrivateDevices, PrivateTmp, RestrictNamespaces, SystemCallFilter, CapabilityBoundingSet, AmbientCapabilities
Vor allem in Kombination mit PermissionsStartOnly kannst du damit in ExecStartPre und ExecStopPost mit vollem root Rechten agieren und den eigentlichen Dienst trotzdem maximal einschränken
Einfach mal RTFM und in 2019 ankommen bevor es vorbei ist