apprarmor / grsecを使用してファイルの機能を取得する
私は、apparmorを使用すると、プロセス能力を低下させる可能性があることを知っています(7)。しかし、それらを取得することは可能ですか?
例:pingにはCAP_NET_RAWが必要です。バイナリにはno suidが設定されており、ファイル機能はありません。バイナリ自体に触れることなく、それにCAP_NET_RAWを与えることは可能ですか? (例:apparmorルールの作成)
GrsecurityにもRBACシステムがあるようですが、それはオプションかもしれません。
いいえ、できません。
AppArmorは、標準のLinuxパーミッションチェックに加えて機能しますが、代わりには機能しません。プログラムがまだ持っていなかった特権を付与することはできません。