Linux systemd服务文件和能力边界集
我试图通过在我的服务文件中使用CapabilityBoundingSet选项来减少根用户的功能。无论如何,我似乎无法阻止root编写文件 例如,使用此服务文件:Linux systemd服务文件和能力边界集,linux,libpcap,systemd,Linux,Libpcap,Systemd,我试图通过在我的服务文件中使用CapabilityBoundingSet选项来减少根用户的功能。无论如何,我似乎无法阻止root编写文件 例如,使用此服务文件: $ cat test.service [Unit] Description=Test After=basic.target [Service] ExecStart=/bin/sh -c "echo 172 > /target" CapabilityBoundingSet=CAP_DAC_READ_SEARCH 所以,如果我有这
$ cat test.service
[Unit]
Description=Test
After=basic.target
[Service]
ExecStart=/bin/sh -c "echo 172 > /target"
CapabilityBoundingSet=CAP_DAC_READ_SEARCH
所以,如果我有这个原始文件:
$ cat /target
I am the original file
$ systemctl start test.service
$ cat /target
172
$ whoami
root
我的内核版本是3.1.10
我也尝试过使用空集或其他功能,但不起作用。。有什么问题吗?我的问题很简单:我试图修改的文件归root所有,这就是我能够执行更改的原因。如果我更改了所有者,那么我就不能再修改它了