apprarmor/grsecを使用してファイル機能をインポートする

apprarmor/grsecを使用してファイル機能をインポートする

私は衣類を使用すると処理能力を減らすことができることを知っています(7)。しかし、それらを得ることは可能ですか?

たとえば、対応するバイナリにはがありますpingCAP_NET_RAWいいえsuidが設定されており、ファイル機能がありません。CAP_NET_RAWバイナリ自体に触れずに与えることは可能ですか? (例えば衣類ルールの作成)

GrsecurityにもRBACシステムがあるようですが、それはオプションでしょうか?

答え1

いいえ、できません。

AppArmorは代替ではなく、標準のLinux権限チェックを補完します。プログラムがまだ保持していない権限は付与できません。

関連情報