systemd offre des directives comme NoNewPrivileges, CapabilityBoundingSet ou PrivateTmp pour sandboxer un service sans conteneur — sous-utilisé et pourtant très efficace.
Lien source
Discussion sur Hacker News (297 points)
systemd offre des directives comme NoNewPrivileges, CapabilityBoundingSet ou PrivateTmp pour sandboxer un service sans conteneur — sous-utilisé et pourtant très efficace.
Discussion sur Hacker News (297 points)