Usando apprarmor / grsec para obter recursos para o arquivo

1

Eu sei que usando o apparmor, é possível reduzir as capacidades do processo (7). Mas é possível ganhá-los?

Por exemplo: ping requer CAP_NET_RAW . É binário tem um conjunto suid no e não possui nenhum recurso de arquivo. É possível dar CAP_NET_RAW a ele, sem tocar o próprio binário? (por exemplo, com a criação de regra apparmor)

A Grsecurity também parece ter o sistema RBAC, então talvez seja uma opção?

    
por nmikhailov 08.04.2015 / 17:31

1 resposta

1

Não, não é possível.

O AppArmor funciona além das verificações de permissão padrão do Linux, não em vez de. Não pode conceder nenhum privilégio que o programa já não tenha.

    
por 19.03.2016 / 10:43