В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены настройки сервисов «ReadOnlySystem» и «ProtectedHome».

Настройка «ReadOnlySystem» примонтирует разделы /usr и /boot для указанного сервиса в режиме «только для чтения». Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.

Настройка «ProtectedHome» примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.

Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.