我知道使用 apparmor 可以减少进程能力(7)。但有可能获得它们吗?
例如:ping需要CAP_NET_RAW.它的二进制有不suid 设置并且没有任何文件功能。是否可以CAP_NET_RAW在不触及二进制本身的情况下给予它? (例如,创建 apparmor 规则)
Grsecurity似乎也有RBAC系统,所以也许这是一个选择?
答案1
不,这是不可能的。
AppArmor 是对标准 Linux 权限检查的补充,而不是替代。它不能授予程序尚未拥有的任何特权。
使用 apprarmor/grsec 获取文件功能