我已经设置了许多自定义 systemd 服务单元,它们的环境变量中可能包含敏感数据。虽然非 root 用户无法使用systemctl cat该服务,但任何人都可以通过systemctl show. 这是不希望的,因为其他用户不应读取该数据。/etc/systemd/system 中的 *.service 文件被标记为只能由 root 读取(模式 600)。
我找不到任何有关 systemd 访问限制的信息。这可能吗?或者所有 systemd 数据都被认为是公开的并且全世界都可读吗?如果没有可用的安全性,我想我将不得不停止使用 systemd 功能并将所有内容包装在另一层无法访问的脚本文件中。
我当前的环境是Ubuntu Server 16.04和20.04。