Запуск yggdrasil от имени непривилегированного пользователя
Из коробки yggdrasil запускается от имени пользователя root, что нежелательно. Тем не менее, похоже, что CAP_NET_ADMIN - это все, что необходимо для запуска yggdrasil от имени непривилегированного пользователя. В 6 простых шагов 1: установить capabilities 1 $ sudo setcap CAP_NET_ADMIN+eip /usr/bin/yggdrasil 2: Создать непривилегированного пользователя с собственной группой 1 $ sudo useradd -c Yggdrasil -d / -M -r -U -s /sbin/nologin yggdrasil 3. Сделайте конфигурационный файл читабельным для пользователя yggdrasil 1 2 3 4 $ sudo chmod 0640 /etc/yggdrasil.conf $ sudo chown root.yggdrasil /etc/yggdrasil.conf $ sudo chmod 0750 /usr/bin/yggdrasil # not world readable $ sudo chown root.yggdrasil /usr/bin/yggdrasil # user root; group yggdrasil 4. Установите user и rundir в systemd.service Добавьте следующие строки в раздел [Service]: ...