最近在研究caddy的时候发现官方提供的Systemd配置文件中有几个没见过的配置,遂记录一下

  • PrivateTmp
    当这个值设置为true时,程序向读取到的/tmp目录实际在/tmp/systemd-private-xxx/下,这可以在一定程度上提高安全性.因为每个程序的临时文件不在同一个目录下了,无法互相读取或者写入.另外程序退出后Systemd服务会删除该目录
  • ProtectSystem
    这个值可设置为true/false/full. 设置为 true, /usr, /boot 被设置为只读. 设置为 full, /usr, /boot, /etc 被设置为只读. 设置为 false, 则应用可以正常访问上述目录.
  • ProtectHome
    与ProtectSystem类似,这个属性也是用于保护某些目录的.可设置为true/false/read-only. 设置为 true 的时候, /home, /root, /run/user 对应用不可见. 设置为 read-only, 上述三个目录对应用只读. 设置为 false, 则应用可以正常访问这三个目录.

参考:
https://www.jianshu.com/p/d028f51cfbc2
https://0pointer.de/blog/projects/security.html

标签: none

评论已关闭