linux-capabilities

0熱

1答えて

2つのプロセス間でメッセージを送信します。イムは、メッセージキューにメッセージを送る const char* MSG_QUEUE = "/tmp/msg_queue"; int file = open(MSG_QUEUE, O_CREAT | O_RDWR | O_APPEND, 0755); close(file); key_t key = ftok(MSG_QUEUE, 1); e

1熱

1答えて

/proc/<pid>/fd/<fd>フルルートアクセスなし

/proc/[pid]/fd/*に依存するプログラム（https://github.com/raboof/connbeat）は、（ネットワーキング）アイノードがあるプロセスを見つけることができます。 /proc/[pid]/fdはroot権限でのみ読み込むことができますが、セキュリティのためにできるだけ権限を削除したいと考えています。完全な権限を必要とせずに（効率的に）プロセスとiノードの関係を

1熱

2答えて

Cのlinux CAP_FOWNER機能をテストしますか？

ディレクトリにchmod()を呼び出す前に、呼び出し元がディレクトリを所有していない場合は、呼び出し元にCAP_FOWNER機能があることをテストしたいと思います。検索から、私がcapable(CAP_FOWNER)を呼び出すことにより、CAP_FOWNERの能力をテストすることができるはずと思われる - しかしcapable()私のmanページの中ではなく、<linux/capability.

1熱

1答えて

pthread_setname_np（）機能が

を設定しているとき、私は g++ -pthread example.cpp で男pthread_setname_npからサンプルプログラムをコンパイルし、私は私のプログラムはa.outのcap_net_raw機能を設定します。 sudo setcap 'cap_net_raw=+eip' a.out 実行するときに驚くべきことに、プログラムが失敗します。私が追加したときに、私は以下の権限を

0熱

1答えて

コンテナ内の特権を削除する

私のイメージの1つにデバイスのマウントが必要です。したがって、起動するときにはcap_sys_adminが必要です。しかし、もう必要がなくなればこの機能を無効にしたいと思っています。後で機能を削除する方法はありますか？

2熱

2答えて

コンテナがポート80でリッスンできるようにする副作用

Dockerコンテナ間のサービスポート管理を簡素化するため、含まれているHTTPサービスがそれぞれのコンテナのIPアドレスのHTTPのデフォルトのTCPポート80をリッスンできるようにします。 1025未満のポート番号を聞くことは、古典的には、特別な特権を持つユーザ、たとえばrootに制限されています。この理由は、私が理解する限り、マルチユーザーシステム上の特権のないユーザーが、マシン全体に対して

0熱

1答えて

cgroupを作成するためにsystemdデーモンに必要な機能は何ですか？

私のプロジェクトでは、特権のないユーザーとして新しいコントロールグループを作成する必要があることがあります。私はこれのためのsystemdデーモンを書くことにしました。私はlibcgroupをcgroup操作のデーモンコードに使用します。私はのcgroup（cgroup_create_cgroup）を作成しようとすると、私はlibcgroupエラーECGROUPNOTALLOWED（Cgrou

2熱

2答えて

yoctoを使用したLinuxの機能

Linuxの機能（例：CAP_NET_ADMIN）をいくつか与えたいと思います。私はYoctoを使用しています。私のファイルシステムは読み取り専用でなければならず、ソフトウェアをフラッシュした後に変更してはいけません（これは通常動作するsetcapでpkg_postinstができないことを意味します）。ターゲットの起動後にファイル構造を変更せずにファイルに機能を与える方法はありますか？

1熱

2答えて

getcapは/私はDebianのストレッチホストを持っている

Debianのストレッチホストとのドッキングウィンドウコンテナで動作しないsetcap私はコンテナを実行しよう [email protected]:~# docker version Client: Version: 17.05.0-ce API version: 1.29 Go version: go1.7.5 Git commit: 89658be Built: Thu May