Исправление Deleted, (текущая версия) :
ну так и создавай сокет.
Демон создаёт сокет. Как через системд фильтровать аргументы вызова?
ты думаешь firejail тебе виртуалку запускает, да ещё и на другом компе?
Нет, я так не думаю.
там точно такие же фиговины используются.
капабилитис, неймспейсы, оверлеи, сискол фильтры, блаблабла, bpf. это всё делается в одном файлике.
Нет, это интерфейс к seccomp ядра. А разработчики ядра предупредили: System call filtering isn't a sandbox. ... It is meant to be a tool for sandbox developers to use.
А systemd никакущий sandbox. А ты кичишься опцией фильтрацией в конфиге. А я тебе говорю что это херня, потому что если реально нужна изоляция, то нужны другие инструменты. И результат достигается проще. Ну или покажи уже наконец опции apparmor и фильтрацию опций сокета в системд, не томи.
Исходная версия Deleted, :
ну так и создавай сокет.
Демон создаёт сокет. Как через системд фильтровать аргументы вызова?
ты думаешь firejail тебе виртуалку запускает, да ещё и на другом компе?
Нет, я так не думаю.
там точно такие же фиговины используются.
капабилитис, неймспейсы, оверлеи, сискол фильтры, блаблабла, bpf. это всё делается в одном файлике.
Нет, это интерфейс к seccomp ядра. А разработчики ядра предупредили: System call filtering isn't a sandbox. ... It is meant to be a tool for sandbox developers to use.
А systemd никакущий sandbox. А ты кичишься опцией фильтрацией в конфиге. А я тебе говорю что это херня, потому что если реально нужна изоляция, то нужны другие инструменты. И результат достигается проще. Ну или покажи уже наконец опции apparmor и с сокетом в системд, не томи.