Чёта я не вкуриваю...
> /etc/ld.so.cache r, The file can be read.
chmod 400 /etc/ld.so.cache
> /var/run/myprog.pid rw, The file can be read and written.
chown vasya:root myprob.bin && chmod 600 /var/run/myprog.pid
> /etc/apache2/* r, All files in /etc/apache2 can be read.
chmod 400 /etc/apache2/*
> /srv/www/htdocs/** r, All files in (and below) htdocs can be read.
find /srv/www/htdocs -type f -exec chmod 444 '{}' \;
> /tmp/myprog.* l, The program can create and remove links with this name.
Ссылку куда? на /etc/shadow?, да и хрен с ними, о все равно chmod 400
> /bin/mount ux The program can execute /bin/mount which will run unconstrained;
that is, without an AppArmor profile.
Ну и хрен с ней пускай делает /bin/mount, выполнять можно, только монтировать нельзя - да вообще, кто разрешает делать юзерам mount?
> /usr/bin/procmail px The program can execute procmail, which will run under constraint of its own profile.
Силу воли вырабатывать что ли?
> /usr/bin/sendmail ix The program can execute sendmail, which will inherit the profile of the current program.
chmod u+s
P.S.
Bсех в chroot и пускай сам себя хакают/троянят/руткитят.
|