Добавьте CAP_SYS_PTRACE для пользователя в LTS 16
Я хотел бы смочь присоединить к процессу с gdb. Процесс имеет мой uid, но исполняемый файл является ценурозом набора. Так, по-видимому, я узнаю о PAM. Это - мое понимание, что для любого присоединения процесса к процессу ценуроза набора нужен CAP_SYS_PTRACE (или быть суперпользователем).
На всякий случай существует любой вопрос:
$ cat /proc/sys/kernel/yama/ptrace_scope
0
Следуя совету в pam_cap (8), я искал /etc/security/capabilities.conf. На LTS 16, который не существует, но каталог делает, таким образом, я создал файл:
CAP_SYS_PTRACE jklowden
Я также добавил это к /etc/pam.d/common-auth:
# Cf. advice in pam_cap(8)
auth optional pam_cap.so
Все же новый вход в систему не может присоединить к процессу ценуроза набора.
- Как отобразить возможности процесса?
- Я должен перезапустить pam или что-то? Как?
- Есть ли другой файл, которому нужно массирование, прежде чем это будет работать?
- Где лучшее место состоит в том, чтобы узнать о таких вещах?
Напыщенная речь: sudo -g $gid -p $pid не справка. Как в прекрасном руководстве говорится, непривилегированные процессы не могут проследить процессы, что они не могут отправить сигналы в или тех, которые работают set-user-ID/set-group-ID программы по очевидным причинам. Не на самом деле очевидно, почему я не должен мочь проследить процесс, которым я владею от процесса в той же группе, просто потому что файл является отмеченным идентификатором группы набора. Политика поощряет отлаживать как суперпользователь, который бесспорно менее безопасен. [напыщенная речь конца]
Большое спасибо.