linux - 无需完全 root 访问权限即可读取/proc/<pid>/fd/<fd>

标签 linux security linux-kernel root linux-capabilities

我有一个程序 ( https://github.com/raboof/connbeat ),它依赖 /proc/[pid]/fd/* 来查找给定(网络)inode 的进程。

/proc/[pid]/fd 只能由 root 读取,但为了安全起见,我想尽可能地放弃权限。

是否有某种方法可以(有效地)获取进程和 inode 之间的关系,而不需要完全的 root 权限?也许我可以选择性地授予某些系统调用使用功能的访问权限?

最佳答案

为了能够读取您需要的所有进程的文件描述符:

  • CAP_DAC_READ_SEARCH - 用于访问/proc/[pid]/fd
  • CAP_SYS_PTRACE - 读取/proc/[pid]/fd/* 下的符号链接(symbolic link)

您可以将您的程序限制为仅具有这两种功能。然后,您可以使用普通 API 调用(例如 readdir()readlink() 或您喜欢的任何其他方式)来访问相关信息。

有关这两种功能的更广泛描述,请参阅 capabilities(7)

关于linux - 无需完全 root 访问权限即可读取/proc/<pid>/fd/<fd>,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41631927/

相关文章:

c - "__floatsidf"编译内核模块时未定义警告

linux - 在shell脚本中将文件从两台机器移动到四台机器

java - 如何在 API 18 中使用 Android KeyStore API?

linux - 按修改时间对文件(包括所有子目录中的文件)进行排序

php - PHP 基于 token 的身份验证

c# - HttpWebRequest + Windows Auth - NetworkCredential 不起作用

Linux输入事件接口(interface)编号

linux - Kmalloc 对齐

linux bc 十六进制表示

linux - 为 optware 编译 Node 时出错 - libv8.a : could not read symbols: File in wrong format