Linux系统中，systemd 是关键服务的核心管理工具。随着安全意识的提高，仅仅运行服务已经不够，我们还需要对它们进行隔离和限制，防止因某个服务被攻破而影响整个系统。给systemd服务配置沙盒机制，是增强安全性的有效手段之一。

下面我们就来看看如何通过 systemd 提供的功能来实现服务沙盒化。

1. 使用 PrivateNetwork 和 PrivateUsers 隔离网络与用户

这两个选项可以为服务创建一个独立的网络命名空间和用户命名空间，从而限制其访问权限。

• PrivateNetwork=yes：启用后，服务将无法访问主机的真实网络，只能使用本地回环接口（lo）或自己创建的虚拟网络。
• PrivateUsers=yes：启用后，服务会在一个私有的用户命名空间中运行，这样即使它以 root 身份运行，也不会拥有主机上的 root 权限。

注意：启用这些功能可能会影响服务的行为，比如某些需要真实网络连接的服务会失效，需要配合 IPAddressAllow= 等选项做细粒度控制。

2. 利用 RestrictAddressFamilies 限制通信协议

有些服务本来只需要使用 IPv4 或者本地 Unix 套接字，但默认情况下它们可能会尝试使用其他协议，比如 IPv6、蓝牙等。这不仅多余，也可能带来潜在风险。

使用：

RestrictAddressFamilies=AF_UNIX AF_INET

上面的例子表示只允许服务使用本地套接字和 IPv4 地址通信，其他协议都会被禁止。

这种限制能有效防止服务试图建立非预期的网络连接，尤其是在暴露在公网的服务器上非常实用。

3. 挂载只读文件系统与限制路径访问

你可以通过设置 ReadOnlyPaths 和 InaccessiblePaths 来限制服务对文件系统的访问。

• ReadOnlyPaths=/etc /usr：指定路径下的内容只能读取，不能修改。
• InaccessiblePaths=/home /root：指定路径对服务不可见，即使它有权限也不能访问。

例如，对于一个只需要读取配置的 Web 服务来说，完全没必要让它访问 /home 目录。

此外，还可以结合 MountFlags=slave 或 MountFlags=private 来控制挂载传播行为，避免服务改变挂载点结构。

4. 启用 AppArmor 或 SELinux 进行更细粒度的控制

虽然 systemd 提供了很多内建的安全限制，但如果你想要更强大的防护能力，可以结合 Linux 安全模块如 AppArmor 或 SELinux。

• AppArmor 更适合新手，配置相对简单，基于路径定义策略；
• SELinux 更强大但也更复杂，适合高级用户或企业级部署。

例如，在 AppArmor 中你可以为某个服务编写如下策略：

/usr/bin/my-service {
  /etc/my-service/** r,
  /var/log/my-service.log w,
}

这样该服务就只能读取配置文件，并写入日志文件，其他操作都会被阻止。

小技巧：用 systemd-analyze security 检查服务安全性评分

systemd 自带了一个小工具可以帮助你快速评估服务的安全性：

systemd-analyze security sshd.service

它会给出一个安全评分（0~100），并列出哪些项目可以改进。这对于排查遗漏项非常有用。

基本上就这些。合理使用 systemd 提供的安全特性，可以在不引入复杂容器环境的前提下，大幅提升服务的安全性。配置时注意逐步测试，避免因权限限制导致服务无法正常启动。

# linux  # access  # 工具  # 命名空间  # 接口  # private  # unix  # 只需要  # 文件系统  # 更强大  # 是在  # 还可以  # 你可以  # 会在  # 也可  # 这两个  # 你可 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Python自动化办公教程_ExcelWordPDF批量处理案例  HTML透明颜色代码在Angular里怎么设置_Angular透明颜色使用指南【详解】  黑客入侵网站服务器的常见手法有哪些？  html5的keygen标签为什么废弃_替代方案说明【解答】  如何快速搭建支持数据库操作的智能建站平台？  Laravel如何处理异常和错误？（Handler示例）  Python面向对象测试方法_mock解析【教程】  Laravel如何集成Inertia.js与Vue/React？（安装配置）  php打包exe后无法访问网络共享_共享权限设置方法【教程】  如何在 Python 中将列表项按字母顺序编号（a.、b.、c. …）  微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】  Laravel Sail是什么_基于Docker的Laravel本地开发环境Sail入门  如何快速查询网址的建站时间与历史轨迹？  Laravel如何实现多语言支持_Laravel本地化与国际化(i18n)配置教程  如何基于云服务器快速搭建网站及云盘系统？  如何用AWS免费套餐快速搭建高效网站？  Laravel怎么自定义错误页面_Laravel修改404和500页面模板  电视网站制作tvbox接口,云海电视怎样自定义添加电视源？  个人摄影网站制作流程,摄影爱好者都去什么网站？  Midjourney怎样加参数调细节_Midjourney参数调整技巧【指南】  宙斯浏览器文件分类查看教程 快速筛选视频文档与图片方法  Laravel Livewire是什么_使用Laravel Livewire构建动态前端界面  浅析上传头像示例及其注意事项  新三国志曹操传主线渭水交兵攻略  详解Nginx + Tomcat 反向代理 负载均衡 集群 部署指南  Laravel怎么在Blade中安全地输出原始HTML内容  linux写shell需要注意的问题(必看)  如何快速生成专业多端适配建站电话？  如何快速搭建虚拟主机网站？新手必看指南  北京的网站制作公司有哪些,哪个视频网站最好？  如何快速搭建高效WAP手机网站吸引移动用户？  标题：Vue + Vuex + JWT 身份认证的正确实践与常见误区解析  Laravel如何生成PDF或Excel文件_Laravel文档导出工具与使用教程  手机网站制作平台,手机靓号代理商怎么制作属于自己的手机靓号网站？  昵图网官网入口 昵图网素材平台官方入口  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  JavaScript中如何操作剪贴板_ClipboardAPI怎么用  如何在自有机房高效搭建专业网站？  EditPlus中的正则表达式实战(5)  简历在线制作网站免费版,如何创建个人简历？  Laravel如何保护应用免受CSRF攻击？（原理和示例）  Python函数文档自动校验_规范解析【教程】  Laravel安装步骤详细教程_Laravel环境搭建指南  Laravel API资源(Resource)怎么用_格式化Laravel API响应的最佳实践  Python并发异常传播_错误处理解析【教程】  微信h5制作网站有哪些,免费微信H5页面制作工具？  简单实现Android验证码  详解jQuery中的事件  如何快速生成凡客建站的专业级图册？  Windows驱动无法加载错误解决方法_驱动签名验证失败处理步骤