Closed baszoetekouw closed 2 years ago
De systemd service van oidc-op draait nu als root. (zie https://github.com/SURFscz/SRAM-deploy/blob/main/roles/oidc-op/templates/oidc-op.service.j2#L5)
Dat is nergens voor nodig; graag aanpassen zodat hij als een DynamicUser draait (naast non-privileged is die ook nog verder afgesloten van het filesystem). Zie https://github.com/SURFscz/SRAM-deploy/blob/main/roles/aclsync/templates/sram_aclsync.service.j2 voor een voorbeeld.
https://github.com/SURFscz/SRAM-deploy/pull/333
mrvanes
commented
2 years ago mrvanes
commented
2 years ago
De systemd service van oidc-op draait nu als root. (zie https://github.com/SURFscz/SRAM-deploy/blob/main/roles/oidc-op/templates/oidc-op.service.j2#L5)
Dat is nergens voor nodig; graag aanpassen zodat hij als een DynamicUser draait (naast non-privileged is die ook nog verder afgesloten van het filesystem). Zie https://github.com/SURFscz/SRAM-deploy/blob/main/roles/aclsync/templates/sram_aclsync.service.j2 voor een voorbeeld.