登录 注册

安全运维实践:基于systemd的Linux服务权限控制配置

BigNet +0/-0 0 0 正常 2025-12-24T07:01:19 系统安全 · 权限控制 · systemd

安全运维实践:基于systemd的Linux服务权限控制配置

在Linux系统安全实践中,服务权限控制是防止特权提升和横向移动的关键环节。本文将通过具体案例演示如何使用systemd进行精细化的服务权限控制。

基础权限限制配置

首先创建一个受限用户服务:

# 创建专用用户
sudo useradd -r -s /sbin/nologin restricted_user

# 编写service文件
sudo vim /etc/systemd/system/restricted.service

service文件内容:

[Unit]
Description=Restricted Service
After=network.target

[Service]
Type=simple
User=restricted_user
Group=restricted_user
WorkingDirectory=/var/lib/restricted
ExecStart=/usr/bin/python3 /var/lib/restricted/app.py
Restart=always

# 安全限制
NoNewPrivileges=true
PrivateTmp=true
PrivateDevices=true
ProtectSystem=strict
ProtectHome=true
ReadOnlyRootFileSystem=true

高级权限控制

对于需要更高安全性的服务,可进一步限制网络访问和文件系统权限:

# 在service配置中添加
[Service]
# 网络限制
NetworkNamespacePath=/var/run/netns/restricted

# 文件系统限制
BindReadOnlyPaths=/etc /usr/share
BindReadWritePaths=/var/lib/restricted

# 进程限制
LimitNOFILE=1024
LimitNPROC=50

验证配置

通过以下命令验证服务状态和权限设置:

sudo systemctl daemon-reload
sudo systemctl start restricted.service
sudo systemctl status restricted.service

# 检查进程权限
ps -ef | grep restricted_user

此配置有效防止了服务进程的权限提升,并限制了其访问系统资源的能力,是Linux系统安全运维的重要实践。

相关安全建议

  1. 定期审查systemd服务配置
  2. 使用最小权限原则部署服务
  3. 配置适当的日志审计机制
  4. 实施定期的安全基线检查
推广
广告位招租

讨论

0/2000
DeepWeb
DeepWeb · 2026-01-08T10:24:58
systemd权限控制是安全基线,但别只配了不验证,定期ps+audit看进程是不是越权跑了。
Quinn862
Quinn862 · 2026-01-08T10:24:58
ReadOnlyRootFileSystem真好用,但别忘了测试服务能不能正常读写配置文件,不然直接瘫痪。
Hannah976
Hannah976 · 2026-01-08T10:24:58
NetworkNamespacePath这招狠,适合隔离高风险服务,但要提前规划网络策略,不然服务自己都连不上