chore: systemd hardening

[zsien]

加固 dbus 进程

[deepin-ci-robot]

[APPROVALNOTIFIER] This PR is NOT APPROVED

This pull-request has been approved by: zsien

The full list of commands accepted by this bot can be found here.

Details

Needs approval from an approver in each of these files:

• debian/deepin/OWNERS

Approvers can indicate their approval by writing /approve in a comment
Approvers can cancel approval by writing /approve cancel in a comment

[deepin-ci-robot]

deepin pr auto review

关键摘要:

• 在debian/rules文件中，dh_auto_install命令的参数--prefix=/usr可能不适用于所有系统，应该检查是否需要更具体的路径。
• 在debian/sysusers文件中，新增的用户deepin-face的ID设置为-，这可能不是一个有效的ID，应该使用一个有效的用户ID。
• 在debian/tmpfiles文件中，新增的文件路径/var/log/deepin-face.log没有指定权限，应该设置适当的权限以确保文件安全。
• 在msic/dbus-conf/org.deepin.dde.Face1.conf文件中，用户策略从root更改为deepin-face，这可能需要确保deepin-face用户具有适当的权限。
• 在msic/systemd/deepin-face.service文件中，服务用户从root更改为deepin-face，这可能需要确保deepin-face用户具有适当的权限。
• 在msic/systemd/deepin-face.service文件中，添加了ProtectSystem=full，这可能会限制系统级别的操作，应该确保这是预期的行为。
• 在msic/systemd/deepin-face.service文件中，添加了LockPersonality=yes，这可能会限制程序的内存使用，应该确保这是预期的行为。

是否建议立即修改:
是

• 确认debian/rules文件中的--prefix=/usr参数是否适用于所有系统，如果不是，应该更具体地指定路径。
• 验证debian/sysusers文件中新增的用户deepin-face的ID是否有效，并设置一个有效的用户ID。
• 在debian/tmpfiles文件中，确保为/var/log/deepin-face.log设置适当的权限，以确保文件安全。
• 验证msic/dbus-conf/org.deepin.dde.Face1.conf文件中用户策略的更改是否符合预期，并确保deepin-face用户具有适当的权限。
• 验证msic/systemd/deepin-face.service文件中服务用户更改是否符合预期，并确保deepin-face用户具有适当的权限。
• 确认msic/systemd/deepin-face.service文件中添加的ProtectSystem=full和LockPersonality=yes选项是否符合项目需求，并确保它们是必要的。

[deepin-bot]

TAG Bot

New tag: 2.0.5
DISTRIBUTION: unstable
Suggest: synchronizing this PR through rebase #30

[deepin-bot]

TAG Bot

New tag: 2.0.6
DISTRIBUTION: unstable
Suggest: synchronizing this PR through rebase #33

[deepin-bot]

TAG Bot

New tag: 2.0.7
DISTRIBUTION: unstable
Suggest: synchronizing this PR through rebase #35