Кажется, существует поддержка мелкомодульных возможностей в ядре Linux, которое позволяет предоставлять, что полномочия процессу делают вещи как, например, открывая неструктурированные сокеты или повышая приоритет потока, не предоставляя полномочия пользователя root процесса.
Однако, что я хотел бы знать, существует ли способ предоставить возможности в расчете на пользователя. Таким образом, позвольте некорневой и процессы non-suid получать те возможности.
Если вы укажете jQuery.noConflict (), то $ больше не будет доступен из jQuery. используйте вместо него jQuery.get.
confДа, вы можете использовать setcap
, чтобы указать набор возможностей для исполняемого файла, который может предоставлять определенные возможности при запуске этого исполняемого файла.
С помощью capabilities(7) man page:
File Capabilities. С ядра 2.6.24, ядро поддерживает ассоциацию наборы возможностей с исполняемым файлом файл с помощью setcap(8). Файл наборы возможностей хранятся в расширенный атрибут (см. setxattr(2)) под названием "Возможности безопасности". Написание для этот расширенный атрибут требует Возможность CAP_SETFCAP. Файл наборы возможностей, в сочетании с наборы возможностей резьбы, определить возможности резьбы после выполнения(2).
Способом предоставления возможностей для каждого пользователя (или даже для группы) был бы модуль PAM. Ответ sqweeksqweek показывает, как это сделать, используя pam_cap
.
Я не подтвердил, но думаю, что этот аспект SELinux может быть вашим ответом:
http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html#userpol5.1