Как выполнить процесс, сохраняя возможности, несмотря на отсутствующие возможности на основе файловой системы?

Я хочу сделать систему работоспособной безsetuid, возможности файла "+ p", и вообще без вещей, которые отключены, когда я устанавливаюPR_SET_NO_NEW_PRIVS.

С таким подходом (init наборыPR_SET_NO_NEW_PRIVS и повышение возможностей на основе файловой системы больше невозможно) вы не можете «пополнить» свои возможности, и нужно только быть осторожным, чтобы не «разбрызгать» их.

Какexecve какой-то другой процесс без "разбрызгивания" каких-либо предоставленных возможностей (например, если файл новой программыsetcap =ei)? Просто «Я доверяю этому новому процессу, как я доверяю себе». Например, возможность даетсяпользователь (и пользователь хочет использовать его в любой программе, которую он запускает) ...

Могу ли я сделать всю файловую систему навсегда=ei? Я хочу, чтобы файловая система просто не вмешивалась в схему, не была способна предоставлять или отзывать возможности; контролировать все через родительские -> дочерние вещи.

Ответы на вопрос(3)

Ваш ответ на вопрос