Wie wird ein Prozess ausgeführt, bei dem die Funktionen trotz fehlender Funktionen auf Dateisystembasis erhalten bleiben?

Ich möchte das System nutzbar machen ohnesetuid, Datei "+ p" -Funktionen und im Allgemeinen ohne Dinge, die beim Einstellen deaktiviert sindPR_SET_NO_NEW_PRIVS.

Mit diesem Ansatz (init setztPR_SET_NO_NEW_PRIVS und dateisystembasierte Fähigkeitserhöhung nicht mehr möglich) Sie können Ihre Fähigkeiten nicht "nachfüllen" und müssen nur vorsichtig sein, um sie nicht zu "plätschern".

Wie manexecve Ein anderer Prozess, bei dem keine zugewiesenen Funktionen "bespritzt" werden (z. B. wenn die Datei des neuen Programms die folgende ist)setcap =ei)? Nur "Ich vertraue diesem neuen Prozess, so wie ich mir selbst vertraue". Zum Beispiel wird a eine Fähigkeit gegebenNutzer (und der Benutzer möchte es in jedem Programm trainieren, das er startet) ...

Kann ich das gesamte Dateisystem dauerhaft machen=ei? Ich möchte, dass das Dateisystem nicht in das Schema eingreift und nicht in der Lage ist, Funktionen zu erteilen oder zu widerrufen. Alles durch Eltern-> Kind-Dinge kontrollieren.

Antworten auf die Frage(3)

Ihre Antwort auf die Frage