私は再びLinuxの機能で遊んでみたいと思いました。私のペットプロジェクトは、多くのバイナリのsetuidを置き換え、root以外のユーザーに追加の特権ユーティリティへのアクセスを提供することです。これを行うには、関連する機能(+ei
、問題は+ep
)を介して追加しsetcap
、個人ユーザーアカウント(jdavis4
)を構成して、ログイン時のセッションにそれらの機能を割り当てますpam_cap.so
。capability.confを使用して、個々のユーザーに「ping」および「kill」へのアクセスを許可できます。
しかし、私が抱えている問題は、これが実稼働システムである場合、管理者がおそらく個々のユーザーに対してこれを行う必要がないように、何らかの集約ユニットによって機能を割り当てたいと思うことでした作るたびに。この方法で、ユーザは単に「filesystemAdmin」グループに追加され、のようなものを得ることができるCAP_DAC_OVERRIDE
か「ProcessManagement」に追加され、のようなものを取得CAP_SYS_NICE
してCAP_SYS_KILL
。
現在これは可能ですか?