/proc/<pid>/fd/<fd>フルルートアクセスなし

Question

/proc/[pid]/fd/*に依存するプログラム（https://github.com/raboof/connbeat）は、（ネットワーキング）アイノードがあるプロセスを見つけることができます。

/proc/[pid]/fdはroot権限でのみ読み込むことができますが、セキュリティのためにできるだけ権限を削除したいと考えています。

完全な権限を必要とせずに（効率的に）プロセスとiノードの関係を得る方法はありますか？おそらく、機能を使用することに選択的にアクセスできるようなシステムコールがありますか？

Answer 1

ことはあなたが必要とするすべてのプロセスのFD年代読むことができるようにするには： - の/ proc/[PID]/FD

CAP_SYS_PTRACEにアクセスするために -

• CAP_DAC_READ_SEARCHをシンボリックリンクを読むためには/ proc/[pidを下]/fd/*

これらの2つの機能のみにプログラムを制限することができます。次に、readdir()またはreadlink()などの通常のAPI呼び出しを使用して、問題の情報にアクセスすることができます。

これら2つの機能の詳細については、capabilities(7)

を参照してください。