landlock_restrict_self(2) System Calls Manual landlock_restrict_self(2) NUME landlock_restrict_self - aplica un set de reguli Landlock BIBLIOTECA Biblioteca C standard (libc, -lc) REZUMAT #include /* Definirea constantelor LANDLOCK_* */ #include /* Definirea constantelor SYS_* */ int syscall(SYS_landlock_restrict_self, int ruleset_fd, uint32_t fanioane); DESCRIERE Odata ce un set de reguli Landlock este completat cu regulile dorite, apelul de sistem landlock_restrict_self() permite aplicarea acestui set de reguli pe firul de execuie apelant. A se vedea landlock(7) pentru o prezentare generala. Un fir poate fi restricionat cu mai multe seturi de reguli care sunt apoi compuse impreuna pentru a forma domeniul Landlock al firului. Acest lucru poate fi vazut ca o stiva de seturi de reguli, dar este implementat intr-un mod mai eficient. Un domeniu poate fi actualizat numai in aa fel incat constrangerile fiecarui set de reguli compus in trecut i in viitor sa restricioneze firul i viitorii sai copii pe toata durata de viaa. Astfel, este posibila aplicarea treptata a unor politici de control al accesului personalizate cu mai multe seturi de reguli independente provenind din surse diferite (de exemplu, configuraia sistemului de iniiere ,,init", politica sesiunii utilizatorului, politica integrata a aplicaiei). Cu toate acestea, majoritatea aplicaiilor ar trebui sa aiba nevoie doar de un singur apel la landlock_restrict_self() i ar trebui sa evite un numar arbitrar de astfel de apeluri din cauza limitei seturilor de reguli compuse. In schimb, dezvoltatorii sunt incurajai sa construiasca un set de reguli adaptat datorita apelurilor multiple la landlock_add_rule(2). Pentru a aplica un set de reguli, fie apelantul trebuie sa aiba capacitatea CAP_SYS_ADMIN in spaiul sau de nume de utilizator, fie firul trebuie sa aiba deja activat bitul no_new_privs. In ceea ce privete seccomp(2), acest lucru evita scenariile in care procesele neprivilegiate pot afecta comportamentul copiilor privilegiai (de exemplu, din cauza binarelor set-user-ID). Daca acest bit nu a fost deja activat de un antecesor al acestui fir, firul trebuie sa efectueze urmatorul apel: prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0); ruleset_fd este un descriptor de fiier de set de reguli Landlock obinut cu landlock_create_ruleset(2) i complet incarcat cu un set de apeluri catre landlock_add_rule(2). fanioane trebuie sa fie 0. VALOAREA RETURNATA In caz de succes, landlock_restrict_self() returneaza 0. ERORI-IEIRE landlock_restrict_self() poate eua din urmatoarele motive: EOPNOTSUPP Landlock este acceptat de nucleu, dar este dezactivat la pornire. EINVAL fanioane nu este 0. EBADF ruleset_fd nu este un descriptor de fiier pentru firul curent. EBADFD ruleset_fd nu este un descriptor de fiier de set de reguli. EPERM ruleset_fd nu are acces de citire la setul de reguli subiacente, sau firul apelant nu ruleaza cu no_new_privs, sau nu are CAP_SYS_ADMIN in spaiul de nume al utilizatorului. E2BIG Numarul maxim de seturi de reguli compuse este atins pentru firul de apelare. Aceasta limita este in prezent de 64. STANDARDE Linux. ISTORIC Linux 5.13. EXEMPLE A se vedea landlock(7). CONSULTAI I landlock_create_ruleset(2), landlock_add_rule(2), landlock(7) TRADUCERE Traducerea in limba romana a acestui manual a fost facuta de Remus- Gabriel Chelu Aceasta traducere este documentaie gratuita; citii Licena publica generala GNU Versiunea 3 sau o versiune ulterioara cu privire la condiii privind drepturile de autor. NU se asuma NICIO RESPONSABILITATE. Daca gasii erori in traducerea acestui manual, va rugam sa trimitei un e-mail la . Pagini de manual de Linux 6.06 31 octombrie 2023 landlock_restrict_self(2)