Ao analizar o Git do systemd, Michael Larabel do Phoronix notou que novas funcionalidades de proteção de "tunáveis de Kernel" foram implementadas para aumentar de processos que rodam a longo prazo. O que parecia ser apenas um sandbox baseado em seccom para isolar a unidade do udev (systemd-udevd.service) de acessar a rede (AF_INET e AF_INET6), na verdade foi uma série de alterações para enclausurar ainda mais os serviços no Linux.

Uma das novas opções introduzidas é a ProtectKernelTunables= . Esta opção torna as variáveis em /proc/sys, /proc/acpi e outras interfaces dispersas em /proc com acesso somente leitura a todos os processos de uma unidade do systemd que a implementar.

Já a opção ProtectControlGroups= torna as hierarquias dos cgroups em /sys/fs/cgroups somente leitura para todos os processos de uma unidade. Com exceção dos gerenciadores de containers, o systemd está buscando bloquear a escrita de outros serviços ao Controle de Grupos Hierárquicos do Linux(cgroups).

Por último, a opção ProtectSystem= aceita o novo argumento "strict". Quando configurado, toda a hierarquia do sistema de arquivos é montado como somente leitura, com exceção dos diretórios que são conhecidos como API (/dev, /proc e /sys) que devem ser protegidos em segunda camada pelas opções ProtectControlGroups, ProtectKernelTunables, e PrivateDevices (este que isola o /dev em um namespace distinto, dando acesso apenas a pseudodispositivos como /dev/zero e /dev/null).

Os desenvolvedores do systemd buscam no ProtectSystem=strict a proteção para serviços que rodam de forma contínua, bloqueando locais que não devem ter acesso de escrita, sendo liberados de forma granular.

Algumas proteções diversas tiveram seus manuais atualizados e vale a pena ler. Maiores detalhes sobre o que mais foi implementado do commit que segue.