Jak wykonać proces, zachowując możliwości pomimo brakujących możliwości systemu plików?

Chcę, aby system był użyteczny bezsetuid, możliwości plików „+ p” i ogólnie bez rzeczy, które są wyłączone, gdy ustawięPR_SET_NO_NEW_PRIVS.

Dzięki takiemu podejściu (init zestawyPR_SET_NO_NEW_PRIVS a podniesienie możliwości systemu plików nie jest już możliwe) nie można „uzupełnić” swoich możliwości i trzeba tylko uważać, aby ich nie „rozprysnąć”.

Jakexecve jakiś inny proces bez „rozpryskiwania” żadnych przyznanych możliwości (na przykład jeśli plik nowego programu tosetcap =ei)? Po prostu „Ufam temu nowemu procesowi, ponieważ ufam sobie”. Na przykład, dana jest możliwość aużytkownik (a użytkownik chce go wykorzystać w dowolnym programie, który uruchamia) ...

Czy mogę zrobić cały system plików na stałe=ei? Chcę, aby system plików po prostu nie ingerował w schemat, nie był w stanie przyznać ani odwołać możliwości; kontrolowanie wszystkiego przez rzeczy rodzica-> dziecka.

questionAnswers(3)

yourAnswerToTheQuestion