• # RestrictNetworkInterfaces

    Posté par  . Évalué à 2 (+0/-0).

    Je ne vois pas de cas d'utilisation de RestrictFileSystems : pourquoi limiter l'accès à certains types de système de fichiers ? Ou alors, en liste négative, comme c'est montré, pour éviter d'accéder aux systèmes de fichiers virtuel de type tracefs.

    Par contre RestrictNetworkInterfaces je vois ça tout de suite : j'ai un serveur chez moi qui fait routeur, et certains services n'ont besoin d'accéder que à Internet et d'autres que au réseau local. Actuellement il y a la possibilité de restrictions par IP, mais bon…

    En tout cas l'implémentation est courte… du moment qu'on maîtrise eBPF (ce que je ne connais pas plus que ça).

    • [^] # Re: RestrictNetworkInterfaces

      Posté par  . Évalué à 1 (+0/-0). Dernière modification le 14/04/21 à 21:57.

      Je ne vois pas de cas d'utilisation de RestrictFileSystems : pourquoi limiter l'accès à certains types de système de fichiers ? Ou alors, en liste négative

      En complément d'une restriction par chemin (container ou chroot), ça a du sens. Si tu veux interdire un mount de nfs ou Fuse (qui peut être n'importe quoi, du S3 par exemple).

      Et en liste négative, c'est risqué quand même : il y a des dizaines des types, et un nouveau peut apparaître, c'est facile d'en oublier (il n'y a qu'à voir la liste d'exclusions de updatedb).

      Ceci dit ça me manquait pas ;).

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.