ptrace_scope/proc/sys/kernel/yama/ptrace_scope1로 설정하면 하위 프로세스가 아닌 프로세스에서 사용할 수 없도록 하는 sysctl 값( )입니다 . 이는 일반적으로 좋은 보안 관행으로 간주됩니다.ptrace
불행하게도 개발자로서 프로세스를 추적할 수 있고 하위 프로세스가 아닌 실행 중인 프로세스에 연결할 수 있다는 것은 매우 유용합니다. sudo이 기능을 사용하면 CAP_SYS_PTRACE사람이 다음에 연결할 수 있습니다.어느사용자 소유 프로세스뿐만 아니라 프로세스를 실행합니다. 공유 개발 시스템에서는 를 ptrace통한 모든 프로세스를 허용하지 않을 수도 있습니다 sudo. 이렇게 하면 모든 사용자가 임의의 코드를 효과적으로 실행할 수 있기 때문입니다.
내가 원하는 것은 사용자가 하위 프로세스가 아닌 프로세스를 ptrace하기 위해 sudo(또는 인증 요구)를 허용하지만 임의 프로세스를 ptrace하는 것을 허용하지 않는 것입니다. 본질적으로 ptrace_scope인증으로 보호되는 임시 기반으로 스스로 변경할 수 있도록 허용합니다 .
가능합니까?