аааааа!!! какже пригорает! я уже прожег стул и вскипятил ванну остужая свой пукан.короче к сути: системд срал на то что ты пишешь в конфигфайле программы, у него свой конфиг и он имеет приоритет над конфигом любой программы!!!!
надо мне ссш и пару других сервисов изолировать от интернета но сохранить функционал, я поставил yggdrasil повесил сервисы на её ipv6 адрес подключил к своей частной сети, и что? и ничего!!!
в /etc/ssh/sshd_config прямо написано слушать только inet6 и ipv6 адрес игдрасиль, перегружаем а оно продолжает слушать ipv4 и хоть ты тресни будет его слушать даже если ты его убрал с конфига!
накопал как это убрать в системд, отключил создание сокета до запуска ссш, запретил его вообще нахрен. заработало как надо.
но, ноооо.... но при перезапуске игдрасиль меняет ipv6 адрес! рукалицо и много мата. а ведь приватный ключ создан и путь к нему указан, он не должен меняться - а он и не меняется(многомата) он вообще не читается а генерируется не лету по тому что тадаааааммм!!! СИСТЕМД! эта тварь имеет свой конфиг и то что ты пишешь в конфиге программы вообще можешь не писать и удалить к чертям. бесит!бесит!беситнеимоверно!!!!!!!!!!!!!!!!!!!!!!!!!
пошел копать где у меня конфиг игдрасиль в системде будь он проклят.
система убунту 24 если что.а безопасность тут при чем? при том что написав в конфиге слушать только 1 интерфейс ты будешь думать что слушается только он, а оно по умолчанию будет слушать все.
простите за эмоциональность я хочу набить ебало тому (вырезаноцензурой) кто это проэктировал и внедрял.
>хочу набить ебало тому (вырезаноцензурой) кто это проэктировал и внедрялВсе хотят. Но капитализм. Кто девушку оплачивает, тот ее и танцует.
Меняй дистр.
Бред несешь. Системд вообще не в курсе за сервисы и их конфиги. Он не может иметь "свой конфиг" для них. Что пропишешь в юните, так оно и будет работать. И вероятно юниты для иггдрасиля идут прямо от авторов иггдрасиля, так что претензии к ним.> пошел копать где у меня конфиг игдрасиль в системде будь он проклят
ЧТД. Ты тупо не в курсах, где у тебя что валяется. Очевидно, что когда запускаешь сервис, на него в первую очередь влияет определение сервиса из systemctl cat myservice.service. А уже потом все остальное.
https://seclists.org/oss-sec/2025/q4/298
> эта тварь имеет свой конфиг и то что ты пишешь в конфиге программы вообще можешь не писать и удалить к чертямэто ты про сокет-активацию что ли?
В systemd бывает сокетная активация - и у неё свой конфиг. Если дистр сделан так, что висит не sshd, а сокетная активация systemd - и править надо там.
> В systemd бывает сокетная активация - и у неё свой конфиг. Если
> дистр сделан так, что висит не sshd, а сокетная активация systemd
> - и править надо там.От такого подхода еще в 2000е отказались в inetd из-за чудовищных накладных расходов на запуск sshd - гораздо дешевле его запустить и слушать 22 порт. Но в системд настолько "прогрессивен", что мало того что переизобрел inetd, дак еще и sshd запускает при долбёжке по сокету.
Вот только "накладные расходы" на VMM с тех пор стали куда меньше.
И да - хотите демоном вешайте, хотите по сокету дёргайте, тут уже всё на совести дистростроителей. systemd умеет как то, так и это. Кстати говоря "переизобретённый" inetd - очень неплох.
> аааааа!!! какже пригорает! я уже прожег стул и вскипятил ванну остужая свой
> пукан.ручке из пoпkи, виноват системда. Логично. Похоже и голова там-же где и ручке
О, кто-то не разобрался в сокетах. Какой милый подрыв.
Учи матчасть...
> а безопасность тут при чем? при том что написав в конфиге слушать только 1 интерфейс ты будешь думать что слушается только он, а оно по умолчанию будет слушать все.У всех инит системах так. Это связано с самими сервисами в которых разрабами предусмотрено приоритет опций командной строки над опциями в конфигурационном файле. Уберите опции с командной строки и будут использоваться те, что прописаны в конфиге.
Система инициализации должна создавать все необходимые каталоги для логов, пидов, сокетов. Так привилегий серверному процессу необходимо меньше, а значит безопасность будет выше. По этой же причине создание сокета (для портов <1024) системой инициализации повисит безопасность сервиса.
Проблема в безопасности systemd это одновременное выделение областей в режиме W и X!
> Проблема в безопасности systemd это одновременное выделение областей в режиме W и X!А также разрешение пользовательским процессам, проходя через JS фильтры передавать данные и команды привилегированным процессам.
> а безопасность тут при чем? при том что написав в конфиге слушать только 1 интерфейс ты будешь думать что слушается только он, а оно по умолчанию будет слушать все.У всех инит системах так. Это связано с самими сервисами в которых разрабами предусмотрено приоритет опций командной строки над опциями в конфигурационном файле. Уберите опции с командной строки (указанные в настройках systemd) и будут использоваться те, что прописаны в конфиге.
Система инициализации должна создавать все необходимые каталоги для логов, пидов, сокетов. Так привилегий серверному процессу необходимо меньше, а значит безопасность будет выше. По этой же причине создание сокета (для портов <1024) системой инициализации повисит безопасность сервиса.
Проблема в безопасности systemd это одновременное выделение областей в режиме W и X!
> СИСТЕМД! эта тварь имеет свой конфиг и то что ты пишешь
> в конфиге программы вообще можешь не писать и удалить к чертям.И ты этого не знал О_о?!
> пошел копать где у меня конфиг игдрасиль в системде
С этого и надо было начать.
> systemd плюет на вашу безопасность
Проблема не в systemd, а в неосиляторах, которые не понимают как она работает, не хотят разобраться и не в состоянии разобраться. Вот раньше линуксом пользовались компетентные люди, которые могли.
А сейчас понабежало хомов, которые умеют только "набить е6ало", да и то только на словах.
Хз что ты там собираешься приватно делать через yggdrasil, но глядя как умело ты все настраиваешь... как бы ты не подарил пару звездочек на погоны кому-то.Переходи лучше на вин11, тебе там самое место.
>> systemd плюет на вашу безопасность
> Проблема не в systemd, а в неосиляторах, которые не понимают как она работает, не хотят разобраться и не в состоянии разобраться. Вот раньше линуксом пользовались компетентные люди, которые могли.Проблемы в безопасности таки в systemd, просто в других местах...
Проверь например опции монтирования дисков:
mount -a |grep -Ev (noexec|ro,)
mount -a |grep -Ev (nosuid|ro,)
mount -a |grep -v '/dev' |grep -Ev (nodev|ro,)И что твой systemd намонтировал?
А теперь попробуй разобраться и указать правильные опции монтирования для этого systemd...
Жду конфиг для systemd з правильными опциями монтирования!
Да, все правильно, это systemd.Чтобы его отключить выполни команду:
sudo dd if=/dev/zero of=/dev/sda bs=512 count=1
И напиши что выведет команда на екран
> Да, все правильно, это systemd.
> Чтобы его отключить выполни команду:
> sudo dd if=/dev/zero of=/dev/sda bs=512 count=1
> И напиши что выведет команда на екранПривет, клоун. У меня нет устройства /dev/sda, мне нужно заменить на /dev/nvme0n1?