<div dir="ltr"><div>Hi,</div><div><br></div>On Mon, 29 Jan 2018 11:18:47 -0500 Simon Deziel <<a href="mailto:simon@sdeziel.info">simon@sdeziel.info</a>> wrote:<br>> SystemCallArchitectures=native<br>> # note: AF_NETLINK is needed for getifaddrs(3)<br>> RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX AF_NETLINK<br><br><div>I'm also working to increase the security of bind via systemd without MAC enabled, I have integrated your suggestions.</div><div>FYI, I have discussed about this on bind mailing-list to validate the unit file, the complete discussion:</div><div><a href="https://lists.isc.org/pipermail/bind-users/2018-January/099437.html">https://lists.isc.org/pipermail/bind-users/2018-January/099437.html</a><br></div><div><br></div><div>Below, the actual unit file, I'm using on our production.<br>If you have extra suggestions, I'm interested in.</div><div><br></div><div>How I could send a merge request ?<br>I have found the file in Git: <a href="https://anonscm.debian.org/git/pkg-dns/bind9.git/tree/debian/bind9.service">https://anonscm.debian.org/git/pkg-dns/bind9.git/tree/debian/bind9.service</a><br>I send a patch on the Debian-DNS mailing-list ?</div><div><br></div><div>Regards</div><div><br></div><div><div>[Unit]</div><div>After=network-online.target</div><div><br></div><div>[Service]</div><div>Type=simple</div><div>TimeoutSec=25</div><div>Restart=always</div><div>RestartSec=1</div><div>User=bind</div><div>Group=bind</div><div>CapabilityBoundingSet=CAP_NET_BIND_SERVICE</div><div>AmbientCapabilities=CAP_NET_BIND_SERVICE</div><div>SystemCallFilter=~@mount @debug acct modify_ldt add_key adjtimex clock_adjtime delete_module fanotify_init finit_module get_mempolicy init_module io_destroy io_getevents iopl ioperm io_setup io_submit io_cancel kcmp kexec_load keyctl lookup_dcookie migrate_pages move_pages open_by_handle_at perf_event_open process_vm_readv process_vm_writev ptrace remap_file_pages request_key set_mempolicy swapoff swapon uselib vmsplice</div><div>RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX AF_NETLINK</div><div>LimitCORE=infinity</div><div>LimitNOFILE=65535</div><div>NoNewPrivileges=true<br></div><div>SystemCallArchitectures=native</div><div>MemoryDenyWriteExecute=true</div><div>RestrictRealtime=true</div><div>PrivateDevices=true</div><div>PrivateTmp=true</div><div>ProtectHome=true</div><div>ProtectSystem=strict</div><div>ProtectKernelModules=true</div><div>ProtectKernelTunables=true</div><div>ProtectControlGroups=true</div><div>ReadOnlyPaths=/sys</div><div>InaccessiblePaths=/home</div><div>InaccessiblePaths=/opt</div><div>InaccessiblePaths=/root</div><div>ReadWritePaths=/run/named</div><div>ReadWritePaths=/var/cache/bind</div><div>ReadWritePaths=/var/lib/bind</div></div><div><br></div></div>