Grsecurity/附录/主体属性
< Grsecurity | 附录
您可以指定给定主体可以转换成的用户和组。这可以在包含或排除的基础上完成。省略这些规则允许具有能力授予的适当权限的主体转换到任何用户/组。
用法
user_transition_allow <user 1> <user 2> ... <user n> user_transition_deny <protected user 1> <protected user 2> ... <protected user n> group_transition_allow <group 1> <group 2> ... <group n> group_transition_deny <protected group 1> <protected group 2> ... <protected group n>
示例
role person u subject /bin/su user_transition_allow root spender group_transition_allow root spender ... role person u subject /bin/su user_transition_deny specialuser user_transition_deny specialgroup ...
可以强制给定主体绑定到机器上的特定 IP 地址。这对于某些沙盒环境可能很有用,以确保从沙盒中使用的源 IP 是由 RBAC 策略决定的。要限制主体可以绑定到的其他源 IP 地址,请使用 RBAC 系统的正常 IP ACL 支持。此选项仅用于在连接到外部或绑定到本地端口时覆盖应用程序对 INADDR_ANY 的使用。
用法
ip_override <IP>
示例
role person u subject / ip_override 192.168.0.1 ...
bind/connect在RBAC 系统中描述。
当使用 connect/bind 规则时,将需要额外的规则来解锁其他套接字族(在常见的 unix 族之外)的使用。每行可以指定多个族。
要启用 IPv6 的使用,请添加以下行
sock_allow_family ipv6
要启用 netlink 的使用,请添加以下行
sock_allow_family netlink
要启用所有其他族,请添加以下行
sock_allow_family all