217
Il faut aussi faire un
# systemctl daemon-reload
en plus, car on a changé la configuration du service (de l'unité).
Tu devrais obtenir quelque chose comme ça:
toto-PC:/etc/systemd/system # systemctl status minidlna.service
● minidlna.service - MiniDLNA is a DLNA/UPnP-AV server software
Loaded: loaded (/etc/systemd/system/minidlna.service; disabled; vendor preset: disabled)
Drop-In: /etc/systemd/system/minidlna.service.d
└─override.conf
Active: active (running) since Sat 2022-04-02 20:24:55 CEST; 1h 24min ago
Main PID: 16801 (minidlnad)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/minidlna.service
└─16801 /usr/sbin/minidlnad -S
Apr 02 20:24:55 toto-PC systemd[1]: Started MiniDLNA is a DLNA/UPnP-AV server software.
Apr 02 20:24:55 toto-PC minidlnad[16801]: minidlna.c:1134: warn: Starting MiniDLNA version 1.3.1.
Apr 02 20:24:55 toto-PC minidlnad[16801]: minidlna.c:1182: warn: HTTP listening on port 8200
218
Le fichier de configuration du service est: (chez moi…)
toto-PC:/home/thierry # cat /usr/lib/systemd/system/minidlna.service
[Unit]
Description=MiniDLNA is a DLNA/UPnP-AV server software
After=network-online.target syslog.target local-fs.target
Wants=network-online.target
[Service]
# added automatically, for details please see
# https://en.opensuse.org/openSUSE:Security_Features#Systemd_hardening_effort
ProtectSystem=full
ProtectHome=true
PrivateDevices=true
ProtectHostname=true
ProtectClock=true
ProtectKernelTunables=true
ProtectKernelModules=true
ProtectKernelLogs=true
ProtectControlGroups=true
RestrictRealtime=true
# end of automatic additions
User=minidlna
Group=minidlna
PIDFile=/run/minidlna/minidlna.pid
Type=simple
ExecStart=/usr/sbin/minidlnad -S
ExecReload=/usr/bin/kill -HUP $MAINPID
[Install]
WantedBy=multi-user.target
On peut y voir:
ProtectHome=true
En allant faire un tour dans le 'man' systemd.exec
à la section Sandboxing:
[…]
à l'option ProtectHome:
C'est du hardening, de la défense en profondeur.
Il faut surcharger cette option (override) ProtecHome=true, comme ceci:
# mkdir /etc/systemd/system/minidlna.service.d/
# echo -e "[Service]\nProtectHome=read-only" > /etc/systemd/system/minidlna.service.d/override.conf
Redémarre le service minidlna, et essaye voir si ça fonctionne.
222
Bonjour,
Je ne connais pas, j'ai un peu cherché.
qui est l'utilisateur propriétaire de la base ?
sudo ls -l /var/cache/minidlna/files.db
Quels ports sont ouverts ?
# firewall-cmd --list-all
Que donne ? (en root)
# systemctl status minidlna.service
Tu peux voir ce que donne:
# journalctl --unit=minidlna.service
Pour info, il existe deux documents 'man': minidlnad et minidlna.conf
Il y a deux variables dans /etc/minidlna.conf : log_dir et log_level . Peut-être qu'en les décommentant puis en redémarrant le service, tu auras peut-être un log avec plus d'informations (log_level=error). Normalement dans /var/log/minidlna je dirais.
Tu peux aussi poster ton fichier /etc/minidlna.conf, ça peut être utile. As-tu un fichier local ~/.minidlna/minidlna.conf ? Ou bien tout est dans /etc ?
223
Je m'intéresse un peu au sujet. Merci tous pour toutes ces précisions.
Je pose ma pierre…
Chez moi (sur ma Leap principal), j'ai un bouton apparemment pour activer ou non les touches magiques.
J'ai cherché sur une autre Leap virtualisée, je n'ai pas trouvé l'option, ou un paquet à installer pour que ça apparaisse.
On peut configurer le 'résumé binaire' (la somme) de SysRq dans yast/sécurité utilisateur/security center:
Puis en cliquant sur configurer:
Pour trouver le nombre touches magiques sysrq en cli:
localhost:/home/thierry # sysctl kernel.sysrq
kernel.sysrq = 184
@Chumi
Il correspond bien au nombre trouvé dans /usr/lib/sysctl.d/50-default.conf
Pour changer ce nombre à 0 (par exemple) pour l'instance courante du noyau (je n'ai pas inventé l'expression -> le noyau qui est "actif", en mémoire).
sysctl - configure kernel parameters at runtime
localhost:/home/thierry # sysctl -w kernel.sysrq="0"
kernel.sysrq = 0
Vérification, oui juste comme c'est écrit au dessus, c'est comme le …
localhost:/home/thierry # sysctl kernel.sysrq
kernel.sysrq = 0
Pour changer le nombre des touches magiques SysRq au démarrage, il existe cette possibilité:
localhost:/home/thierry # echo "kernel.sysrq=0" >> /etc/sysctl.conf
Ces commandes sont à titre indicatives. Je n'ai pas testé à redémarrer et voir ce qui se passe réellement.
Je ne sais pas qui prend le dessus au démarrage entre Yast et /etc/sysctl.conf…
PS: j'ai mis des likes à tout le monde, comme ça, pas de jaloux !
224
Ça va dans le bon sens !
denebe@localhost:~> plasmashell --version
plasmashell 5.24.3
225
Complément:
l'inspection est impossible, car je n'ai pas configuré la journalisation !! Elle sauvegarde par défaut un jour je crois, enfin c'est ce que j'ai…
Le sujet en restera là, c'est dommage j'aurais bien aimé en savoir plus.
Je vais de ce pas configurer /etc/systemd/journald.conf, et mettre 2 semaines pour la journalisation - MaxRetentionSec=2week … Comme on peut le voir, il y a plein de variables configurables.
localhost:/home/thierry # cat /etc/systemd/journald.conf
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of the License, or
# (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See journald.conf(5) for details.
[Journal]
#Storage=auto
#Compress=yes
#Seal=yes
#SplitMode=uid
#SyncIntervalSec=5m
#RateLimitIntervalSec=30s
#RateLimitBurst=10000
#SystemMaxUse=
#SystemKeepFree=
#SystemMaxFileSize=
#SystemMaxFiles=100
#RuntimeMaxUse=
#RuntimeKeepFree=
#RuntimeMaxFileSize=
#RuntimeMaxFiles=100
MaxRetentionSec=2week
#MaxFileSec=1month
#ForwardToSyslog=no
#ForwardToKMsg=no
#ForwardToConsole=no
#ForwardToWall=yes
#TTYPath=/dev/console
#MaxLevelStore=debug
#MaxLevelSyslog=debug
#MaxLevelKMsg=notice
#MaxLevelConsole=info
#MaxLevelWall=emerg
#LineMax=48K
#ReadKMsg=yes
#Audit=yes
et pas mal d'informations ici:
man journald.conf
Je passe le sujet en résolu.