我设置了许多自定义 systemd 服务单元,它们的环境变量中可能包含敏感数据。虽然非 root 用户无法访问systemctl cat该服务,但任何人都可以通过 查看所有数据systemctl show。这是不可取的,因为其他用户不应读取这些数据。/etc/systemd/system 中的 *.service 文件标记为仅 root 可读(模式 600)。
我找不到有关 systemd 访问限制的任何信息。这可能吗?还是所有 systemd 数据都被视为公开且可供所有人读取?如果没有可用的安全性,我想我必须停止使用 systemd 功能并将所有内容包装在另一层无法访问的脚本文件中。
我当前的环境是 Ubuntu Server 16.04 和 20.04。
答案1
将您想要的环境变量放在访问受限的文件中,然后使用 将其加载到您的单元中EnvironmentFile=。