Можно использовать сокет домена Unix и настроить размер буфера с setsockopt()
.
То, что Вы хотите сделать, не возможно. Не только делает pam_cap
только управляйте наследуемыми возможностями (таким образом, это на самом деле не предоставляет разрешенной/эффективной возможности вообще), это также только имеет дело с пользователями и не группами (даже основные группы).
Я не нашел ни одной документации, в которой говорилось бы, что возможность.conf может быть назначена непосредственно группе.
Это, по-видимому, является продуктом потребности в pam _cap для «лишения» привилегий от процесса аутентификации, который, вероятно, имеет «все» возможности или достаточные, чтобы стать таковыми. Это создает тенденцию, когда кажется неразумным иметь кумулятивные аддитивные отображения, поскольку это может быстро стать «неконтролируемой структурой». Таким образом, назначения через возможность.conf не являются кумулятивными. Если вы зажжете спичку, это то, что вы получите. Ни больше ни меньше.
Сказав это:
можно настроить pam _cap для загрузки возможностей из произвольного файла в формате /etc/security/capability.conf
можно использовать скрипты в конфигурации pam. Было бы достаточно тривиально сгенерировать для каждого пользователя -файл Ability.conf для аутентифицирующего пользователя на основе его членства в группе и передать его модулю pam _cap.
Это не «элегантно» или «идеально», но для большой -пользовательской базы, похожей на ldap, это, вероятно, более поддается проверке, чем «синхронизация через 8-й уровень jellyware» между действительными пользователями и полной -текстовой записью. на пользователя в одном файле /etc/security/capability.conf.
Мы добавили синтаксис @group
в поддержку pam_cap.so
и capability.conf
в libcap-2.29
. На момент написанияlibcap
была версия 2.49 .
Существует также некоторая документация дляpam_cap.so
здесь .
pam_pcap.c
, который я считал для нахождения ответа (я хочу сделать что-то подобное). Это не имеет дело с группами вообще, и в комментариях (и код) в файле также говорится, что только наследуемые возможности обрабатываются им. – Dennis Kaarsemaker 06.05.2013, 23:37