[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: systemd.resource-control
[Thread Prev] | [Thread Next]
- Subject: Re: systemd.resource-control
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Sat, 23 May 2026 15:39:42 +0200
- To: UUGRN Mailingliste <uugrn@xxxxxxxxx>
On Sat, May 23, 2026 at 03:33:02PM +0200, Marco Moock wrote:
Am 23.05.26 um 15:27 schrieb Marc Haber:today's read: systemd.resource-control. Das ist ja wirklich fein. Damit kann man ja sogar an einen service oder einen socket eine Accessliste drankleben und beschränken, von wo man auf den Dienst zugreifen kann, und zwar ohne manuell eine Firewallregel irgendwo anders hin schreiben zu können.Also sowas, was die Windows-Firewall auch kann?
Mangels Windows-Firewall-Erfahrung kann ich Dir das nicht sagen. Aber es gibt Dinge wie:
IPAddressAllow=ADDRESS[/PREFIXLENGTH]... IPAddressDeny=ADDRESS[/PREFIXLENGTH]... SocketBindAllow=bind-rule SocketBindDeny=bind-rule RestrictNetworkInterfaces= BindNetworkInterface=Dann muss man sich also nicht mit jedem Service einzeln auseinandersetzen wenn man den nicht von überall erreicht haben möchte (z.B. das Mailrelay auf einem Virtualisierungshost, den DNS-Recursor, den NTP-Server).
Das, gepaart mit den netten Override-Capabilities einer systemd-Unit, das klingt nach einem Träumchen.
man systemd.resource-controlNett ist auch, dass man ein "IPAddressDeny=all" auch z.B. an das network-online.target kleben könnte und dann mit einer deny-all-Firewall losläuft. Das hab ich aber noch nicht probiert.
Besonders beim Verschieben von Diensten auf eine andere Maschine könnte die Firewall-Konfiugration implizit und automatisch mitkommen, es ist alles einheitlich. Hat man Konfigurationsmanagement, wird das auch nochmal einfacher, weil man die typischerweise hochindividualisierte Schnittstelle zur Firewall gratis und franko mitbekommt.
Wenn das wirklich so funktioniert wie ich mir das vorstelle werde ich auf meine alten Tage doch noch zum systemd-Fan.
Grüße Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402 Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421 -- Unix User Group Rhein-Neckar e.V.: https://www.uugrn.org Archiv und An-/Abmeldung: https://mail2.uugrn.org Social Media: https://social.uugrn.org
| Update und reboot shell.uugrn.org am 2026-05-17 | Marc Haber <mh+uugrn@xxxxxxxxxxxx> |
| Re: Update und reboot shell.uugrn.org am 2026-05-17 | Helge Deller <deller@xxxxxx> |
| Snowflake-Proxy auf UUGRN-Maschine (was: Update und reboot shell.uugrn.org am 2026-05-17) | Marc Haber <mh+uugrn@xxxxxxxxxxxx> |
| Re: Snowflake-Proxy auf UUGRN-Maschine (was: Update und reboot shell.uugrn.org am 2026-05-17) | Stefan Hagen <sh@xxxxxxxxx> |
| Re: Snowflake-Proxy auf UUGRN-Maschine (was: Update und reboot shell.uugrn.org am 2026-05-17) | Marc Haber <mh+uugrn@xxxxxxxxxxxx> |
| Re: Snowflake-Proxy auf UUGRN-Maschine (was: Update und reboot shell.uugrn.org am 2026-05-17) | Jakob Haufe <sur5r@xxxxxxxxx> |
| systemd.resource-control (was: Snowflake-Proxy auf UUGRN-Maschine) | Marc Haber <mh+uugrn@xxxxxxxxxxxx> |
| Re: systemd.resource-control | Marco Moock <mm@xxxxxxxxxx> |