0
서비스 파일에서 CapabilityBoundingSet 옵션을 사용하여 루트 사용자 기능을 줄이려고합니다. 어쨌든 루트가 파일을 쓰는 것을 막을 수는없는 것 같습니다. 나는이 원본 파일이있는 경우systemd 서비스 파일 및 CapabilitiesBoundingSet
$ cat test.service
[Unit]
Description=Test
After=basic.target
[Service]
ExecStart=/bin/sh -c "echo 172 > /target"
CapabilityBoundingSet=CAP_DAC_READ_SEARCH
때문에, : :이 서비스 파일을 예를 들어
,
는$ cat /target
I am the original file
$ systemctl start test.service
$ cat /target
172
$ whoami
root
내 커널 버전은 3.1.10입니다.
나는 빈 세트 또는 다른 기능을 시도했지만 작동하지 않습니다. 무엇이 잘못 될 수 있습니까?