我有一些使用sched_setscheduler的代码sched.h
sched_param sched;
sched.sched_priority = 70;
sched_setscheduler(getpid(), SCHED_FIFO, &sched);
但是,除非我使用sudo. 我宁愿不以root特权运行应用程序。
我有没有办法在不授予完全 root 权限的情况下授予用户或进程对此功能的访问权限?
- 编辑 -
derobert对使用功能给出了很好的回答。在postinst中,我简单地添加:
setcap cap_sys_nice+ep /path/to/myapp
这里的问题是:
bin$ ./myapp
./myapp error while loading shared libraries: libmylib.so: cannot open shared object file: No such file or directory
该程序失去了$LD_LIBRARY_PATH从rpath. 这似乎是预期的行为。有没有解决的办法?
在进行任何动态加载之前,我已经尝试过setcap cap_setpcap+ep myapp使用prctl(PR_CAPBSET_DROP, CAP_SETPCAP);,但这似乎没有帮助。
更改您的调度程序和优先级应该只需要该
CAP_SYS_NICE功能;请参阅sched(7) 的权限和资源限制。您可能还想查看 的手册页sched_setscheduler,其中提到了 sched(7)。有几种方法可以让你的程序具备这种能力;最简单的可能是setcap:
这与 set-user-id 类似,但受到更多限制(因为它只提供一种功能)。当然,CAP_SYS_NICE 有效地授予程序挂起系统的权限(通过实时任务占用所有 CPU 时间)。
其他方法包括使用以root 身份运行的包装器(丢弃所有其他权限)或使用例如RealtimeKit/PolicyKit 的提升。
(有关功能的更多信息,我建议从capabilities(7)开始)。
我有一个解决方案,虽然它有点奇怪并且在操作系统中暴露了一个漏洞。
期间
postinst,我:然后在代码中,我启动一个进程:
我们刚刚暴露的漏洞是任何使用此版本的人
chrt都可以在没有管理员权限的情况下进行操作。由于我正在运行这是一个非常受控的目标环境,因此我可以接受这个漏洞,但我不会推荐无法控制其目标环境的人。