Я знаю, что невозможно установить атрибуты security.capabilities без uid 0 или CAP_SETFCAP.
Однако я не смог найти полный список того, какие пространства имен разрешены или какие запрещены.
1 ответ
1
Это описано в справочной странице xattr(7) :
Расширенные пространства имен атрибутов
[…] В настоящее время классы расширенных атрибутов
security,system,trustedиuserопределены, как описано ниже. Дополнительные классы могут быть добавлены в будущем.Расширенные атрибуты безопасности
[…] Права доступа на чтение и запись к атрибутам безопасности зависят от политики, реализованной для каждого атрибута безопасности модулем безопасности. Когда модуль безопасности не загружен, все процессы имеют доступ на чтение к расширенным атрибутам безопасности, а доступ на запись ограничен процессами, которые имеют возможность CAP_SYS_ADMIN.
Расширенные системные атрибуты
[…] Права доступа на чтение и запись к системным атрибутам зависят от политики, реализованной для каждого системного атрибута, реализованного файловыми системами в ядре.
Надежные расширенные атрибуты
Доверенные расширенные атрибуты видны и доступны только процессам, которые имеют возможность CAP_SYS_ADMIN. Атрибуты в этом классе используются для реализации механизмов в пользовательском пространстве (т. Е. Вне ядра), которые хранят информацию в расширенных атрибутах, к которым у обычных процессов не должно быть доступа.
Расширенные пользовательские атрибуты
[…] Права доступа для пользовательских атрибутов определяются битами прав доступа к файлу: разрешение на чтение требуется для получения значения атрибута, а разрешение на запись требуется для его изменения.