Systemd-Dienste absichern: Ein praktischer Leitfaden
Dieser Artikel untersucht die Verbesserung der Sicherheit von Systemd-Diensten und Podman-Containern. Er beginnt mit der Einführung des Befehls `systemd-analyze security` zur Bewertung der Sicherheitslage von Systemd-Units. Der Artikel beschreibt dann verschiedene Sicherheitsoptionen in Systemd-Unit-Dateien und Podman-Konfigurationsdateien, wie `ProtectSystem`, `PrivateTmp`, `RestrictSUIDSGID`, und erklärt, wie man sie verwendet, um Berechtigungen einzuschränken und die Angriffsfläche zu reduzieren. Er behandelt die Fehlerbehebung bei Dienstfehlern nach Konfigurationsänderungen und die Verwendung von Audit-Logs zum Debuggen. Schließlich werden Best Practices vorgestellt, wie z. B. die Priorisierung externer Dienste und die Anpassung der Sicherheitseinstellungen an die spezifischen Bedürfnisse.