06/08/14 13:06:55 PGuDhi6G
>>323
補足Thanks。
俺もrunuserは使ってるけど、
rcの中だとdaemon --userでやっちゃってるなー。
特に問題なくドメイン遷移できてるんだが、これだと何か問題あり?
>>326
ACLという言い方がまず不味い。
ACL使いたいだけならsetfacl/getfacl使えば?という話になるし。
(POSIX ACL。Kernel2.6以降で利用可)
>>328-331
一応、それら何でも実現できるのがSELinux。というのがNSAとかRedhatの理想。
完全にrootユーザから特権を奪ったカーネルで運用することもできるし、
(ポリシを正しく決めて、setenforce 0できないカーネルで運用)
そもそもその前に権限を正しく設定することで、管理者権限奪取も防げる、と。
まぁ、SELinuxのポリシ作るなんて人間業じゃなくて神業の領域だけど。