onlycap (1) 썸네일형 리스트형 [SMACK] 스맥에서 onlycap으로 root 권한 축소하기 root 권한을 가진 프로세스는 모든 파일에 접근할 수 있습니다.프로세스가 어떤 스맥레이블로 활성화되어있건 관계가 없죠.사실 약간 깡패같은 느낌이 없잖아 있습니다.그게 root의 막강한 권한이기도 하지요. 그렇지만, 플랫폼을 제품으로 출시할때,root 권한은 최대한 제한하고 없애야 합니다. 스맥을 사용하는 시스템에서는 onlycap이 좋은 시작이 될 수 있습니다.특정 스맥레이블을 onlycap이라 설정하고,onlycap만이 "스맥레이블을 명시하지 않아도" 모든 파일에 접근할 수 있게 합니다. 이 말은 root라 할지라도 onlycap이 아니면 모든 파일에 접근할 수 없다는 말이지요. 스맥이 활성화된 커널에서는 CAP_MAC_ADMIN을 가진 프로세스만이 스맥레이블을 변경할 수 있습니다.CAP_MAC_AD.. 이전 1 다음