Grsecurity/附錄/主體屬性
< Grsecurity | 附錄
您可以指定給定主體可以轉換成的使用者和組。這可以在包含或排除的基礎上完成。省略這些規則允許具有能力授予的適當許可權的主體轉換到任何使用者/組。
用法
user_transition_allow <user 1> <user 2> ... <user n> user_transition_deny <protected user 1> <protected user 2> ... <protected user n> group_transition_allow <group 1> <group 2> ... <group n> group_transition_deny <protected group 1> <protected group 2> ... <protected group n>
示例
role person u subject /bin/su user_transition_allow root spender group_transition_allow root spender ... role person u subject /bin/su user_transition_deny specialuser user_transition_deny specialgroup ...
可以強制給定主體繫結到機器上的特定 IP 地址。這對於某些沙盒環境可能很有用,以確保從沙盒中使用的源 IP 是由 RBAC 策略決定的。要限制主體可以繫結到的其他源 IP 地址,請使用 RBAC 系統的正常 IP ACL 支援。此選項僅用於在連線到外部或繫結到本地埠時覆蓋應用程式對 INADDR_ANY 的使用。
用法
ip_override <IP>
示例
role person u subject / ip_override 192.168.0.1 ...
bind/connect在RBAC 系統中描述。
當使用 connect/bind 規則時,將需要額外的規則來解鎖其他套接字族(在常見的 unix 族之外)的使用。每行可以指定多個族。
要啟用 IPv6 的使用,請新增以下行
sock_allow_family ipv6
要啟用 netlink 的使用,請新增以下行
sock_allow_family netlink
要啟用所有其他族,請新增以下行
sock_allow_family all