¿Cómo ejecutar un proceso, conservando las capacidades a pesar de las capacidades faltantes basadas en el sistema de archivos?
Quiero que el sistema sea utilizable sinsetuid
, capacidades del archivo "+ p", y en general sin elementos que están deshabilitados cuando configuroPR_SET_NO_NEW_PRIVS.
Con este enfoque (init
conjuntosPR_SET_NO_NEW_PRIVS
y la elevación de la capacidad basada en el sistema de archivos ya no es posible) no puede "rellenar" sus capacidades y solo debe tener cuidado de no "salpicarlas".
Cómoexecve
algún otro proceso sin "salpicar" cualquier capacidad otorgada (por ejemplo, si el archivo del nuevo programa essetcap =ei
)? Simplemente "confío en este nuevo proceso como confío en mí mismo". Por ejemplo, se da una capacidad a unusuario (y el usuario quiere ejercitarlo en cualquier programa que inicie) ...
¿Puedo hacer todo el sistema de archivos de forma permanente?=ei
? Quiero mantener el sistema de archivos sin interferir con el esquema, no ser capaz de otorgar o revocar capacidades; controlando todo a través del padre-> cosas infantiles.