ฉันจะเขียนไฟล์บริการ systemd สำหรับfai จอ (8) daemon นี้รับฟังพอร์ตเดียวรับการเชื่อมต่อ TCP และเขียนไฟล์บันทึกเดียวพร้อมข้อมูลที่น่าสนใจ
เพื่อลดพื้นผิวการโจมตีในระบบบริการควรทำงานด้วยสิทธิ์น้อยที่สุด ทำตามคำแนะนำเกี่ยวกับตัวเลือกสำหรับการทำให้ระบบหน่วยบริการแข็งขึ้นฉันมากับไฟล์บริการนี้:
[Unit]
Description=FAI Monitor Daemon
[Service]
Type=simple
ExecStart=/usr/sbin/fai-monitor -l /run/fai-monitor/fai-monitor.log
DynamicUser=true
RuntimeDirectory=fai-monitor
RuntimeDirectoryMode=755
MemoryDenyWriteExecute=true
NoNewPrivileges=true
PrivateTmp=true
PrivateUsers=true
ProtectHome=true
ProtectSystem=strict
PrivateDevices=true
ProtectKernelTunables=true
ProtectControlGroups=true
RestrictAddressFamilies=AF_INET AF_INET6
RestrictRealtime=true
TasksMax=16
MemoryHigh=10M
SystemCallFilter=~@mount @debug @privileged
ในขณะนี้ดูเหมือนว่าจะค่อนข้าง จำกัด ไฟล์บริการค่อนข้าง verbose
มีวิธีอื่นในการ จำกัด การบริการให้เหลือน้อยที่สุดเท่าที่จะเป็นไปได้หรือไม่ โดยเฉพาะอย่างยิ่งสิ่งที่RestrictEverything=trueน่าสนใจจะน่าสนใจเมื่อได้รับอนุญาตรายการทรัพยากรที่อนุญาตต่อไป