chore: systemd hardening

[zsien]

加固 dbus 进程

Task: https://pms.uniontech.com/task-view-361179.html

[deepin-bot]

TAG Bot

New tag: 6.0.12
DISTRIBUTION: unstable
Suggest: synchronizing this PR through rebase #119

[deepin-ci-robot]

deepin pr auto review

关键摘要:

• 在debian/dde-api.sysusers文件中，用户deepin-api-device的权限设置可能过于宽泛，建议限制更详细的策略。
• deepin-api-device服务的ExecStart和ExecStop命令可能需要更详细的错误处理和日志记录。
• deepin-api-device服务的ProtectSystem策略设置为full，这可能对系统稳定性有较大影响，建议根据实际需求调整。
• deepin-api-device服务的ReadOnlyPaths设置为/var/lib/deepin-sound-player，这可能导致服务无法正确访问该路径，建议检查路径是否正确或服务是否有必要的权限。
• deepin-api-device服务的BindReadOnlyPaths设置为-/tmp/deepin-shutdown-sound.json，这可能需要临时文件或目录的额外处理，以确保服务的稳定性。

是否建议立即修改:
是

[deepin-ci-robot]

deepin pr auto review

关键摘要:

• 在debian/dde-api.postinst和debian/dde-api.postrm文件中，建议添加错误处理逻辑以处理可能出现的错误。
• 在debian/rules文件中，新增的override_dh_auto_install和override_dh_strip规则可能会影响依赖关系和构建流程，需要确保这些更改不会引入问题。
• 在misc/systemd/system/deepin-api-device.service文件中，新增的SystemdService属性dbus-org.deepin.dde.Device1.service可能会导致服务名称冲突，需要检查是否有其他服务使用相同的名称。
• 在misc/systemd/system/deepin-locale-helper.service和misc/systemd/system/deepin-login-sound.service中，移除了ProtectHome和PrivateDevices策略，需要确保这些更改不会导致安全问题。
• 在misc/systemd/system/deepin-shutdown-sound.service中，新增了ReadOnlyPaths和BindReadOnlyPaths属性，需要确保这些更改不会影响系统稳定性。

是否建议立即修改:
是

[deepin-bot]

TAG Bot

New tag: 6.0.13
DISTRIBUTION: unstable
Suggest: synchronizing this PR through rebase #122

[deepin-ci-robot]

[APPROVALNOTIFIER] This PR is NOT APPROVED

This pull-request has been approved by: fly602, zsien

The full list of commands accepted by this bot can be found here.

Needs approval from an approver in each of these files:

• debian/deepin/OWNERS

Approvers can indicate their approval by writing /approve in a comment
Approvers can cancel approval by writing /approve cancel in a comment