ReadWritePaths
и ему подобные действительно полезны только тогда, когда они используются вместе с параметрами, которые вносят в черный список определенные пути. Если вы точно знаете, что ваше приложение должно иметь доступ только к определенным путям, вы можете сделать следующее:
ProtectSystem=strict
и добавьте в белый список определенные каталоги для записи с помощью ReadWritePaths
. ReadOnlyPaths
и добавьте определенные каталоги в белый список с помощью ReadWritePaths
. Если делать это с /
, он делает надмножество того, что делает ProtectSystem
(он также ограничивает /dev, /proc и /sys, что вам может не понадобиться). Вы также можете использовать PrivateDevices
, ProtectKernelTunables
и ProtectControlGroups
для защиты этих каталогов.