/etc/security/capability.confでグループを指定することはできますか？

私は再びLinuxの機能で遊んでみたいと思いました。私のペットプロジェクトは、多くのバイナリのsetuidを置き換え、root以外のユーザーに追加の特権ユーティリティへのアクセスを提供することです。これを行うには、関連する機能（+ei、問題は+ep）を介して追加しsetcap、個人ユーザーアカウント（jdavis4）を構成して、ログイン時のセッションにそれらの機能を割り当てますpam_cap.so。capability.confを使用して、個々のユーザーに「ping」および「kill」へのアクセスを許可できます。

しかし、私が抱えている問題は、これが実稼働システムである場合、管理者がおそらく個々のユーザーに対してこれを行う必要がないように、何らかの集約ユニットによって機能を割り当てたいと思うことでした作るたびに。この方法で、ユーザは単に「filesystemAdmin」グループに追加され、のようなものを得ることができるCAP_DAC_OVERRIDEか「ProcessManagement」に追加され、のようなものを取得CAP_SYS_NICEしてCAP_SYS_KILL。

現在これは可能ですか？

あなたがしたいことは不可能です。だけでなくpam_capだけで継承機能を操作し、それはまた、ユーザーだけではなくグループ（いなくても、プライマリグループ）を扱う（それは実際にはまったく許さ/効果的な機能を付与するものではありません）。

capability.confをグループに直接割り当てることができると述べるドキュメントはありません。

これはpam_capが認証プロセスから特権を「取り除く」必要性の産物のようです。これは、すぐに「チェック不能な構造」になる可能性があるため、累積加算マッピングを持つのが賢明ではない傾向があります。したがって、capability.confによる割り当ては累積されません。あなたが試合をヒットした場合、それはあなたが得るものです。これ以上でもそれ以下でもありません。

とは言うものの：

• /etc/security/capability.confの形式の任意のファイルから機能をロードするようにpam_capを構成することが可能です

• pam config内でスクリプトを使用することは可能です。グループメンバーシップに基づいて、認証ユーザーのユーザーごとにcapability.confファイルを生成し、それをpam_capモジュールにフィードすることは、合理的に簡単です。

それは「エレガント」でも「理想的」でもありませんが、LDAPベースの大規模なユーザーベースでは、有効なユーザーと単一の/ etcのユーザーごとのフルテキストエントリ間で「レイヤー8ゼリーウェアを介して同期する」よりもおそらくチェック可能です/security/capability.conf。