Запуск yggdrasil от имени непривилегированного пользователя
Из коробки yggdrasil запускается от имени пользователя root, что нежелательно. Тем не менее, похоже, что CAP_NET_ADMIN - это все, что необходимо для запуска yggdrasil от имени непривилегированного пользователя. В 6 простых шагов 1: установить capabilities $ sudo setcap CAP_NET_ADMIN+eip /usr/bin/yggdrasil 2: Создать непривилегированного пользователя с собственной группой $ sudo useradd -c Yggdrasil -d / -M -r -U -s /sbin/nologin yggdrasil 3. Сделайте конфигурационный файл читабельным для пользователя yggdrasil $ sudo chmod 0640 /etc/yggdrasil.conf $ sudo chown root.yggdrasil /etc/yggdrasil.conf $ sudo chmod 0750 /usr/bin/yggdrasil # not world readable $ sudo chown root.yggdrasil /usr/bin/yggdrasil # user root; group yggdrasil ...