[devel] PrivateTmp=true для сеанса обновлённого p9
Arseny Maslennikov
arseny на altlinux.org
Чт Апр 22 16:51:55 MSK 2021
On Thu, Apr 22, 2021 at 03:26:12PM +0300, Mikhail Novosyolov wrote:
>
> 22.04.2021 15:00, Arseny Maslennikov пишет:
> > On Thu, Apr 22, 2021 at 02:19:34PM +0300, Andrey Cherepanov wrote:
> >> Кто-нибудь знает, как вычислить виновника, устанавливающего PrivateTmp=true
> >> для сеанса пользователя для обновлённой системы на p9?
> > % man systemd.directives | grep -A4 PrivateTmp
> > PrivateTmp=
> > systemd.exec(5)
> >
> > PrivateUsers=
> > systemd.exec(5)
> > --
> > PrivateTmp
> > org.freedesktop.systemd1(5)
> >
> > PrivateUsers
> > org.freedesktop.systemd1(5)
> >
> >
> > Как понять выражение "PrivateTmp=true для сеанса пользователя"?
> > Эта директива может быть назначена только юниту.
> Сеанс пользователя - user-UID.slice - является унитом. pam_systemd работает.
Я был не слишком подробен.
1) Не любому юниту, а только сервису, маунту, свапу и (почему-то) сокету, см. org.freedesktop.systemd1(5).
2) Slice — это, конечно, тип юнита, но не сеанс пользователя; сеансом
можно разве что session-$ID.scope назвать, который как раз порождается
pam_systemd(8).
3) systemd.exec(5):
PrivateTmp=
Takes a boolean argument. If true, sets up a new
file system namespace for the executed processes
and mounts private /tmp/ and /var/tmp/ directories
inside it that are not shared by processes outside
of the namespace. This is useful to secure access
<...>
This option is only available for system services
and is not supported for services running in
per-user instances of the service manager.
Т. е. в пользовательской инит-последовательности директива неприменима
(иначе некрасиво получается: чтобы mount namespace сделать, надо либо
userns городить, либо привилегии повышать...).
По конкретному вопросу Андрея — подозреваю, какой-то ещё pam-модуль старается.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 833 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20210422/054a3c0b/attachment.bin>
Подробная информация о списке рассылки Devel