systemd 서비스가 사용자 홈페이지에 접근할 수 없습니다

Question 1

이론적으로는 개인 마운트 네임스페이스일 수 있습니다. 이는 안전 기능입니다. 제외해보시면 될 것 같아요

ProtectHome=off

Answer

이론적으로는 개인 마운트 네임스페이스일 수 있습니다. 이는 안전 기능입니다. 제외해보시면 될 것 같아요

ProtectHome=off

Question 2

나 역시 이 질문을 우연히 접했지만 답을 찾지 못했다. 이것이 제가 달성할 수 있었던 것입니다. 그러나 가능하다면 더 나은 대안을 제안해 주십시오.

여기서 설명하는 접근 방식은 @RegedUser00x의 사용 사례에 정확히 맞지는 않지만 올바른 방향으로 안내할 수 있습니다. 특히,내 솔루션은 파일 시스템 권한을 존중하지 않습니다. 이는 아마도 바람직하지 않을 것입니다..

내가 작동하게 할 수 있었던 유일한 방법은 다음과 같은 기능을 추가하는 것이었습니다.CAP_DAC_READ_SEARCH (인용하다).

CAP_DAC_READ_SEARCH파일 읽기 권한 검사와 디렉터리 읽기 및 실행 권한 검사를 우회합니다."

[Unit]
# ...

[Service]
# ...

# Disallow system modification
ProtectSystem=true

# Restrict access to the home folder while only allowing certain folders
ProtectHome=tmpfs
BindPaths=/home/myuser/useful_folder /home/myuser/useful_file

# CAP_DAC_READ_SEARCH Bypass file read permission checks and directory
# read and execute permission checks;
CapabilityBoundingSet= CAP_DAC_READ_SEARCH

[Install]
WantedBy=multi-user.target
# ...

Answer

나 역시 이 질문을 우연히 접했지만 답을 찾지 못했다. 이것이 제가 달성할 수 있었던 것입니다. 그러나 가능하다면 더 나은 대안을 제안해 주십시오.

여기서 설명하는 접근 방식은 @RegedUser00x의 사용 사례에 정확히 맞지는 않지만 올바른 방향으로 안내할 수 있습니다. 특히,내 솔루션은 파일 시스템 권한을 존중하지 않습니다. 이는 아마도 바람직하지 않을 것입니다..

내가 작동하게 할 수 있었던 유일한 방법은 다음과 같은 기능을 추가하는 것이었습니다.CAP_DAC_READ_SEARCH (인용하다).

CAP_DAC_READ_SEARCH파일 읽기 권한 검사와 디렉터리 읽기 및 실행 권한 검사를 우회합니다."

[Unit]
# ...

[Service]
# ...

# Disallow system modification
ProtectSystem=true

# Restrict access to the home folder while only allowing certain folders
ProtectHome=tmpfs
BindPaths=/home/myuser/useful_folder /home/myuser/useful_file

# CAP_DAC_READ_SEARCH Bypass file read permission checks and directory
# read and execute permission checks;
CapabilityBoundingSet= CAP_DAC_READ_SEARCH

[Install]
WantedBy=multi-user.target
# ...

systemd 서비스가 사용자 홈페이지에 접근할 수 없습니다

답변1

답변2

관련 정보