Acho que o recurso mais estreito que se encaixa na fatura é CAP_DAC_READ_SEARCH , o que concede a capacidade de ler qualquer coisa, ignorando as permissões do DAC (o usuário tradicional / grupo / outras permissões).
Em um programa que estou enumerando namespaces de rede, varrendo /proc/pid/ para ns/net links . Este programa é executado dentro dos namespaces "root" (init original) do próprio host. Normalmente, eu preciso executar a parte do scanner como root, caso contrário, eu só terei acesso limitado a outros processos ' /proc/pid/ information. Eu gostaria de evitar a execução do scanner como root, se possível, e gostaria de evitar o incômodo de perder privilégios.
Qual recurso do Linux eu preciso definir para o meu programa de scanner para que ele possa ser executado por usuários não-root e ainda ver a árvore /proc/pid/ completa?
Acho que o recurso mais estreito que se encaixa na fatura é CAP_DAC_READ_SEARCH , o que concede a capacidade de ler qualquer coisa, ignorando as permissões do DAC (o usuário tradicional / grupo / outras permissões).