读取/proc/<pid>/fd/<fd>而不完全根访问

Question

我有一个程序(https://github.com/raboof/connbeat)，它依赖于/proc/[pid]/fd/*来查找给定(网络) inode的进程。

/proc/[pid]/fd只能通过root读取，但是为了安全起见，我想尽可能地删除特权。

有什么方法可以(有效地)在不需要完全根权限的情况下找到进程和inode之间的关系？也许我可以有选择地给予一些syscall使用功能的权限？

Answer 1

要能够阅读fd的所有您需要的进程：

• CAP_DAC_READ_SEARCH -用于访问/proc/pid/fd
• CAP_SYS_PTRACE -读取/proc/pid/fd/*下的符号链接

您可以将程序限制在这两种功能上。然后，您可以使用普通的API调用(如readdir()或readlink()或其他您喜欢的任何东西)来访问有关的信息。

有关这两种功能的更广泛描述，请参阅能力(7)