ptrace_scope
/proc/sys/kernel/yama/ptrace_scope
1に設定すると、子プロセスではなくプロセスで使用できないようにするsysctl値()です。これは一般的に良いセキュリティ慣行と見なされます。ptrace
残念ながら、開発者としてプロセスを追跡し、子プロセスではなく実行中のプロセスに接続できることは非常に便利です。sudo
この機能により、CAP_SYS_PTRACE
人は次に接続できます。どのユーザー所有プロセスだけでなくプロセスも実行します。共有開発システムでは、ptrace
すべてのプロセスを許可するわけではありませんsudo
。これにより、すべてのユーザーが任意のコードを効果的に実行できるためです。
私が望むのは、ユーザーが子プロセスではなくプロセスをptraceするためにsudo(または認証要求)を許可しますが、任意のプロセスをptraceすることを許可しないことです。本質的に認証ptrace_scope
で保護されている一時ベースで自分で変更できるようにします。
可能ですか?