论文部分内容阅读
与传统的Linux超级用户机制相比,能力机制能够提供更加灵活和全面的进程行为控制保护。分析了Linux内核现有能力机制实现的不足,基于最小特权和特权分离原则对Linux内核中的能力机制进行了扩充,提出了一种基于“会话ID”机制保护能力子系统的方法,通过这种机制可以限制进程euid的变化,防止进程能力属性被任意提升。