Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
n T – процесс не сможет выполнить никакой троянский код;
n o – отменяет ACL-наследование.
Объект поддерживает следующие режимы:
n r – объект может быть открыт для чтения;
n w – объект может быть открыт для записи;
n x – объект может быть выполнен (executed);
n a – объект может быть открыт для добавления;
n h – объект скрыт (к нему нельзя получить доступ);
n s – при запрете доступа к этому объекту в логи не будет идти информация;
n i – применяется только к бинарным файлам. Когда объект выполняется, он наследует ACL субъекта, в который входит;
n l – режим обучения, поддерживается только для бинарных файлов;
n R – аудит успешного чтения объекта;
n W – аудит успешной записи в объект;
n X – аудит успешного исполнения объекта;
n A – аудит успешного добавления в объект;
n F – аудит успешного поиска объекта;
n I – аудит успешного наследования объекта;
n m – разрешить создавать и модифицировать setuid/setgid файлы и каталоги;
n M – аудит успешного создания и модификации setuid/setgid файлов и каталогов;
n с – позволить создание файлов и каталогов;
n С – аудит успешного создания файлов и каталогов;
n d – разрешить удаление файлов и каталогов;
n D – аудит успешного удаления файлов и каталогов;
n p – сбросить все ptrace.
Помимо доступа к файлам и каталогам процессу иногда необходимы специальные права на смену владельца, конфигурирование сетевых интерфейсов и т. д. Эти права реализованы в виде так называемых способностей или свойств (capability). В ACL они предваряются знаками «+» и «-», соответственно знак «+» разрешает использование данной «способности», знак «-» запрещает.
Ниже приведены несколько наиболее интересных и часто используемых «способностей», полный список можно найти в официальной документации.
n CAP_ALL – используется как заглушка для запрета или разрешения всех capability.
n CAP_CHOWN – в системе с установленной опцией [_POSIX_CHOWN_RESTRICTED_] эта «способность» разрешает процессу изменять владельца.
n CAP_SETGID – разрешает выполнение функций setgid, setgoups.
n CAP_SETUID – разрешает выполнение функции setuid.
n CAP_NET_BIND_SERVICE – разрешает привязку на TCP/IP-сокет ниже 1024, привязку к ATM VCIs ниже 32.
n CAP_NET_ADMIN – разрешает:
n конфигурирование интерфейсов;