disallow-add-capabilities kontraproduktiv?
Ich konnte keinen Issue dazu finden, deshalb mach ich einfach mal einen auf.
Und zwar haben wir hier gerade den Fall, dass alle Capabilities gedroppt werden und nur die eine benötigte (NET_BIND_SERVICE
) dann geadded wird. Das wird von der Policy aber verboten.
Aus Security-Sicht ist das aber genau richtig: Erstmal alle Capabilities droppen und dann gezielt nur die benötigten wieder adden. Gut, man könnte auch alle bis auf NET_BIND_SERVICE
droppen aber das ist doch irgendwie... unelegant. Kann man da nicht (wie in restrict-sysctls
) eine Liste erlaubter Capabilities definieren?