Предотвращение создания символических ссылок Apache, вероятно, не сломает его.
В текущем Linux есть два системных вызова, которые могут создавать новые символические ссылки:symlink
и symlinkat
.
man systemd.exec
говорит нам, что systemd может установить фильтр seccomp, чтобы запретить определенные системные вызовы:SystemCallFilter=~symlink symlinkat
. И, согласно man systemd.unit
, существующие служебные файлы systemd могут быть изменены с помощью файлов «вставить -», например. /etc/systemd/system/httpd.service.d/nosymlink.conf
.
РЕДАКТИРОВАТЬ :Конечно, если вы запускали PHP как FastCGI в отдельном сервисе systemd, то это сервис, который вам нужно изменить вместо httpd
.
Существует большое предостережение, связанное с этим подходом к «черному списку» :
.
Обновление ОС до нового ядра может добавить поддержку новых системных вызовов. К сожалению, даже более новый symlinkat()
не добавил аргумент флагов. Поэтому в будущем может потребоваться добавить новый системный вызов, если поведение symlinkat
нужно каким-либо образом изменить. Как ни странно, наиболее вероятной причиной этого является добавление AT _BENEATH поддержки symlinkat
. Это может повторно -открыть "уязвимость", т.е. если более новые версии GNU libc направляют все создание символических ссылок через новый системный вызов symlinkat2()
.
Мне просто нужно было настроить формат экрана телевизора, используемого в качестве монитора, с 16 :9 на Точка-точка . Я не думаю, что в этом меню есть одинаковые записи для каждого телевизора. Это решает мою проблему.