Можно как-либо отключить доступ к systemd dbus для всех, кроме рута?

0

1

Не для кого не секрет, что systemd медленно, но верно захватывает дистрибутивы. Поэтому нужно подготовиться, и сделать использование systemd достаточно безопасным (на случай криворуких мейнтейнеров или уязвимостей нулевого дня).

Поэтому вопрос следующий: можно ли как-то запретить доступ (про dbus SELinux context прошу не говорить, это слишком геморно и не везде возможно) к systemd из не-рутовых приложений? А то стараниями gnome3-комманды и Поттеринга тут всё весьма интегрировано и можно поломать часть обычных программ такими действиями.

В голову приходит только смена прав на UNIX-сокет системной dbus. Но нет ли менее регрессивных мер? Не нарушит ли это само функционирование systemd?

Особенно меня этот вопрос для серверов интересует. Но и для десктопа немаловажен.

Ссылка

←	Сохранить конфиг запущенного emacs'a

Подскажите высокопроизводительные решения типа VNC для оффтопик->онтопик взаимодействий.

→

Посмотрите в сторону конфигурирования прав для dbus объектов. Файлы в /etc/dbus-1 system.conf для системной сессии. session.conf для простых сессий.

В этих файлах можно прописать какие dbus объекты какие сообщения посылать, какие получать, какие события доступны и т.д.

Также для каждого dbus cервиса можно создавать специальный файл с конфигом всех прав доступа. Например, создать файл systemd.conf в этой директории /etc/dbus-1/system.d и прописать для него все доступные права. Смотрите теги policy. Например, <policy group=«users»> <deny send_destination=«<адрес сервиса>»/> <policy> и т.п. Конечно, это надо сначала вкурить с медитацией, но потом, можно рулить всем dbus-ом.

Grindz ★
(28.01.13 11:08:58 MSK)