В systemd добавлены новые возможности по изоляции контейнеров
В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены настройки сервисов «ReadOnlySystem» и «ProtectedHome». Настройка «ReadOnlySystem» примонтирует разделы /usr и /boot для указанного сервиса в режиме «только для чтения». Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.
Настройка «ProtectedHome» примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.
Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.
© OpenNet
