chore: systemd hardening #27

zsien · 2024-06-25T05:33:09Z

加固 dbus 进程

deepin-ci-robot · 2024-06-25T05:33:18Z

[APPROVALNOTIFIER] This PR is NOT APPROVED

This pull-request has been approved by: zsien

The full list of commands accepted by this bot can be found here.

Needs approval from an approver in each of these files:

Approvers can indicate their approval by writing /approve in a comment
Approvers can cancel approval by writing /approve cancel in a comment

加固 dbus 进程

deepin-ci-robot · 2024-06-25T10:02:11Z

关键摘要:

在debian/rules文件中，dh_auto_install命令的参数--prefix=/usr可能不适用于所有系统，应该检查是否需要更具体的路径。
在debian/sysusers文件中，新增的用户deepin-face的ID设置为-，这可能不是一个有效的ID，应该使用一个有效的用户ID。
在debian/tmpfiles文件中，新增的文件路径/var/log/deepin-face.log没有指定权限，应该设置适当的权限以确保文件安全。
在msic/dbus-conf/org.deepin.dde.Face1.conf文件中，用户策略从root更改为deepin-face，这可能需要确保deepin-face用户具有适当的权限。
在msic/systemd/deepin-face.service文件中，服务用户从root更改为deepin-face，这可能需要确保deepin-face用户具有适当的权限。
在msic/systemd/deepin-face.service文件中，添加了ProtectSystem=full，这可能会限制系统级别的操作，应该确保这是预期的行为。
在msic/systemd/deepin-face.service文件中，添加了LockPersonality=yes，这可能会限制程序的内存使用，应该确保这是预期的行为。

是否建议立即修改:
是

确认debian/rules文件中的--prefix=/usr参数是否适用于所有系统，如果不是，应该更具体地指定路径。
验证debian/sysusers文件中新增的用户deepin-face的ID是否有效，并设置一个有效的用户ID。
在debian/tmpfiles文件中，确保为/var/log/deepin-face.log设置适当的权限，以确保文件安全。
验证msic/dbus-conf/org.deepin.dde.Face1.conf文件中用户策略的更改是否符合预期，并确保deepin-face用户具有适当的权限。
验证msic/systemd/deepin-face.service文件中服务用户更改是否符合预期，并确保deepin-face用户具有适当的权限。
确认msic/systemd/deepin-face.service文件中添加的ProtectSystem=full和LockPersonality=yes选项是否符合项目需求，并确保它们是必要的。

zsien force-pushed the zs/systemdhardening branch 2 times, most recently from 972f0bf to b51f5a6 Compare June 25, 2024 09:58

chore: systemd hardening

db64b1f

加固 dbus 进程

zsien force-pushed the zs/systemdhardening branch from b51f5a6 to db64b1f Compare June 25, 2024 10:01

Provide feedback