私はインスピレーションを得てLinux機能を再試行し始めましたが、私のお気に入りのプロジェクトは多くのバイナリでsetuidを置き換え、root以外のユーザーに他の特権ユーティリティへのアクセスを提供しています。関連機能(+ei質問の余地があります+ep)を追加し、setcap個人用ユーザーアカウント(jdavis4)を設定してログイン時にその機能をセッションに割り当てることで、これはうまくいきpam_cap.soました。 Capability.confを使用すると、個々のユーザーに「ping」および「kill」アクセス権を付与できます。
しかし、これに関する問題は、これが本番システムである場合は、管理者がある種の集計単位を介して機能を展開したいと思うので、システムを作成するたびに個々のユーザーごとにこれを行う必要がないことです。 。このようにして、ユーザーは単に「filesystemAdmin」グループに追加し、CAP_DAC_OVERRIDE「ProcessManagement」に追加することで、CAP_SYS_NICE同じことを取得できますCAP_SYS_KILL。
現在これは可能ですか?
ベストアンサー1
@groupsの構文サポートを追加しました。この記事を書く時点では、pam_cap.socapability.conflibcap-2.29libcapバージョンは2.49です。。
書類も少しありますpam_cap.so ここ。