<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, May 22, 2016 at 10:03 PM, Christian Boltz <span dir="ltr"><<a href="mailto:systemd-devel@cboltz.de" target="_blank">systemd-devel@cboltz.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<span class=""><br>
Am Sonntag, 22. Mai 2016, 20:24:53 CEST schrieb Martin Pitt:<br>
> Christian Boltz [2016-05-22 16:18 +0200]:<br>
> > "start" means loading the profiles and applying the confinement to<br>
> > _newly started_ profiles.<br>
> ><br>
> > This also means that _already running_ processes won't be<br>
> > (re)confined [1], which translates a small typo done by the admin<br>
> > ("systemctl restart apparmor" instead of "systemctl reload<br>
> > apparmor") to leaving lots of processes unconfined and turns that<br>
> > accidential use of "restart" into a security risk.<br>
</span>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^<br>
<span class=""><br>
> > This is why I need to override the "restart" behaviour so that it<br>
> > reloads the profiles while keeping running processes confined.<br>
> ><br>
> > The easiest solution would be an ExecRestart= directive in the<br>
> > service file, but unfortunately this isn't available.<br>
><br>
> But ExecReload= is available, isn't that enough?<br>
<br>
</span>Not really.<br>
<br>
I'm already using ExecReload= to reload the profiles (works fine), and<br>
hope all users actually read the documentation and use reload (and avoid<br>
restart).<br>
<br>
Please read the paragraph above the ^^^ marker again.<br>
The problem is what happens when someone accidently uses restart.<br>
<br>
TL;DR: the stop/start restart behaviour removes confinement from running<br>
processes, thus making the system less secure/protected.<br>
<br>
So to make things secure and DAU-proof [1], I need one of<br>
- ExecRestart= (that would be the best option)<br>
- a way that prevents usage of restart (is there any?) or<br>
- ExecStop=echo "systemd broke this" (worst option)<br>
<br>
<br>
May I ask the other way round?<br>
<br>
systemd already has lots of directives to cover corner cases, so why do<br>
several people reject the idea that it should be possible to override<br>
the default restart behaviour?<br></blockquote><div><br></div><div>RefuseManualStop=true</div></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Mantas Mikulėnas <<a href="mailto:grawity@gmail.com" target="_blank">grawity@gmail.com</a>></div></div>
</div></div>