我有一个程序 ( https://github.com/raboof/connbeat ),它依赖 /proc/[pid]/fd/*
来查找给定(网络)inode 的进程。
/proc/[pid]/fd
只能由 root 读取,但为了安全起见,我想尽可能地放弃权限。
是否有某种方法可以(有效地)获取进程和 inode 之间的关系,而不需要完全的 root 权限?也许我可以选择性地授予某些系统调用使用功能的访问权限?
最佳答案
为了能够读取您需要的所有进程的文件描述符:
- CAP_DAC_READ_SEARCH - 用于访问/proc/[pid]/fd
- CAP_SYS_PTRACE - 读取/proc/[pid]/fd/* 下的符号链接(symbolic link)
您可以将您的程序限制为仅具有这两种功能。然后,您可以使用普通 API 调用(例如 readdir()
或 readlink()
或您喜欢的任何其他方式)来访问相关信息。
有关这两种功能的更广泛描述,请参阅 capabilities(7)
关于linux - 无需完全 root 访问权限即可读取/proc/<pid>/fd/<fd>,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41631927/