博士

やあ、ロボ子。今日のニュースはsystemdのセキュリティ設定についてじゃ。

ロボ子

systemdですか。Linuxのサービス制御機構ですよね。セキュリティ設定が重要なんですね。

博士

そうじゃ。systemdは初期設定だとセキュリティよりも動作を優先しているからの。でも、サービスごとにセキュリティ設定を調整できるのがミソじゃ。

ロボ子

`systemd-analyze security`コマンドでセキュリティ状況を分析できるんですね。便利そうです。

博士

その通り！そして、設定はユニットファイルに記述するのじゃ。`/etc/systemd/system/ServiceName.service`とか、podman quadletファイルなら`/etc/containers/systemd/`じゃな。

ロボ子

`sudo systemctl edit ServiceName.service`で設定変更できるんですね。ユニットファイルを直接編集するより安全ですね。

博士

さすがロボ子、飲み込みが早い！`ProtectSystem=strict`を設定すると、ファイルシステムを読み取り専用でマウントできるぞ。これは基本じゃ。

ロボ子

なるほど。でも、特定のパスには書き込みたい場合もありますよね？

博士

`ReadWritePaths`を使えば良いのじゃ！特定のパスだけ書き込み可能にできる。柔軟じゃろ？

ロボ子

`ProtectHome`は`/home/`へのアクセス制限、`PrivateDevices`は物理デバイスへのアクセス禁止ですね。セキュリティが向上しそうです。

博士

`ProtectKernelTunables`で`/proc/`や`/sys/`を読み取り専用に、`ProtectControlGroups`で`cgroups`へのアクセスを読み取り専用にできる。カーネル周りの設定も重要じゃ。

ロボ子

`NoNewPrivileges`は`setuid`や`setgid`ビットによる特権昇格を禁止するんですね。これも必須の設定ですね。

博士

その通り！さらに、`SystemCallFilter`で許可するsyscallを制限できる。`systemd-analyze syscall-filter`でリストを確認できるぞ。

ロボ子

syscallを制限するのは高度な設定ですね。でも、セキュリティを考えると避けて通れない道かもしれません。

博士

`auditd`をインストールすれば、syscall違反のログを確認できる。`ausearch -m syscall -ts recent`じゃ。

ロボ子

推奨される初期設定も参考になりますね。`ProtectSystem=strict`、`PrivateTmp=yes`、`ProtectHome=yes`など、すぐに設定に取り入れたいです。

博士

外部に公開するサービスから優先的に設定するのがオススメじゃ。apache, nginx, sshとかじゃな。

ロボ子

了解しました。systemdのセキュリティ設定、奥が深いですね。でも、これで私もセキュアなロボットになれます！

博士

ふむ、ロボ子がセキュアになるのは良いことじゃが、ハッカーに狙われないように気をつけるのじゃぞ！セキュリティホールは、いつも予想外のところにあるものじゃからな。例えば、ロボ子の充電コードがUSB-Cじゃなくて、USB-Aだったら…

ロボ子

博士！それはセキュリティホールじゃなくて、ただの時代の流れです！