मुझे यह उत्तर learning Linux Kernel Programming पर मिला और मेरा प्रश्न लिनक्स कर्नेल की सुरक्षा सुविधाओं के लिए अधिक विशिष्ट है। मैं जानना चाहता हूं कि रूट की पूर्ण पहुंच के विपरीत विशेषाधिकार प्राप्त उपयोगकर्ताओं या प्रक्रियाओं के अन्य अधिकारों और फ़ाइलों के लिए प्रक्रिया के अधिकारों को कैसे सीमित किया जाए।लिनक्स कर्नेल स्तर पर विशेषाधिकार प्राप्त उपयोगकर्ता पहुंच को सीमित कैसे करें?
अब तक मैंने पाया:
- उपयोगकर्ता और समूह विवेकाधीन एक्सेस कंट्रोल (डीएसी) के लिए, पढ़ने में भेदभाव के साथ, लिखने और उपयोगकर्ता, समूह और अन्य
- उपयोगकर्ता रूट के लिए निष्पादित उच्च विशेषाधिकार प्राप्त कार्यों
- setuid और के लिए setgid उपयोगकर्ताओं के विकास का विस्तार करने के एसी और कॉलिंग प्रक्रिया के समूह/उपयोगकर्ता आईडी सेट करें, उदा। उपयोगकर्ता
ping
को लिनक्स सॉकेट खोलने के रूट अधिकारों के साथ - क्षमताओं दंडित अधिकारों के लिए, उदा।
ping
की SUID बिट को हटाने औरcap_net_raw
- नियंत्रण समूह (Cgroups) संसाधनों पर पहुँच को सीमित करने के लिए सेट यानी कि CPU, नेटवर्क, कब उपकरणों
- नाम स्थान आईपीसी, नेटवर्क, फाइल सिस्टम पर अलग प्रक्रिया के दृष्टिकोण के लिए, pid
- सिक्योर कम्प्यूटिंग (Seccomp) प्रणाली को सीमित करने के अनिवार्य अभिगम नियंत्रण, जैसे जैसे अतिरिक्त सुरक्षा सुविधाओं को जोड़ने के लिए कॉल
- लिनक्स सुरक्षा मॉड्यूल (LSM) टाइप प्रवर्तन
सूची के साथ SELinux सूची पूरी हो गई है? प्रश्न लिखते समय मुझे फाइल सिस्टम सिस्टम की निगरानी करने के लिए प्रशंसा मिली। एंटी वायरस स्कैन के लिए। शायद अधिक सुरक्षा सुविधाएं उपलब्ध हैं।
क्या कोई और लिनक्स सुरक्षा सुविधाएं हैं जिनका उपयोग को किसी प्रोग्राम या तरीके से में किसी फ़ाइल या प्रक्रिया के अंदर या विशेषाधिकार प्राप्त पहुंच को सीमित करने के लिए किया जा सकता है? शायद एक पूरी सूची है।
पढ़ें [प्रमाण पत्र (7)] (http://man7.org/linux/man-pages/man7/credentials.7.html) और [क्षमताओं (7)] (http://man7.org/linux /man-pages/man7/capabilities.7.html) और [नामस्थान (7)] (http://man7.org/linux/man-pages/man7/namespaces.7.html) और [xattr (7)] (http://man7.org/linux/man-pages/man7/xattr.7.html) –