Je ne vois pas de cas d'utilisation de RestrictFileSystems : pourquoi limiter l'accès à certains types de système de fichiers ? Ou alors, en liste négative, comme c'est montré, pour éviter d'accéder aux systèmes de fichiers virtuel de type tracefs.
Par contre RestrictNetworkInterfaces je vois ça tout de suite : j'ai un serveur chez moi qui fait routeur, et certains services n'ont besoin d'accéder que à Internet et d'autres que au réseau local. Actuellement il y a la possibilité de restrictions par IP, mais bon…
En tout cas l'implémentation est courte… du moment qu'on maîtrise eBPF (ce que je ne connais pas plus que ça).
Posté par cg .
Évalué à 1.
Dernière modification le 14 avril 2021 à 21:57.
Je ne vois pas de cas d'utilisation de RestrictFileSystems : pourquoi limiter l'accès à certains types de système de fichiers ? Ou alors, en liste négative
En complément d'une restriction par chemin (container ou chroot), ça a du sens. Si tu veux interdire un mount de nfs ou Fuse (qui peut être n'importe quoi, du S3 par exemple).
Et en liste négative, c'est risqué quand même : il y a des dizaines des types, et un nouveau peut apparaître, c'est facile d'en oublier (il n'y a qu'à voir la liste d'exclusions de updatedb).
# RestrictNetworkInterfaces
Posté par Glandos . Évalué à 2.
Je ne vois pas de cas d'utilisation de
RestrictFileSystems
: pourquoi limiter l'accès à certains types de système de fichiers ? Ou alors, en liste négative, comme c'est montré, pour éviter d'accéder aux systèmes de fichiers virtuel de typetracefs
.Par contre
RestrictNetworkInterfaces
je vois ça tout de suite : j'ai un serveur chez moi qui fait routeur, et certains services n'ont besoin d'accéder que à Internet et d'autres que au réseau local. Actuellement il y a la possibilité de restrictions par IP, mais bon…En tout cas l'implémentation est courte… du moment qu'on maîtrise eBPF (ce que je ne connais pas plus que ça).
[^] # Re: RestrictNetworkInterfaces
Posté par cg . Évalué à 1. Dernière modification le 14 avril 2021 à 21:57.
En complément d'une restriction par chemin (container ou chroot), ça a du sens. Si tu veux interdire un mount de nfs ou Fuse (qui peut être n'importe quoi, du S3 par exemple).
Et en liste négative, c'est risqué quand même : il y a des dizaines des types, et un nouveau peut apparaître, c'est facile d'en oublier (il n'y a qu'à voir la liste d'exclusions de updatedb).
Ceci dit ça me manquait pas ;).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.