是否可以在 /etc/security/capability.conf 中指定組？

我受到啟發再次開始使用 Linux 功能，我最喜歡的項目是替換許多二進製文件上的 setuid，並為非 root 使用者提供對其他特權實用程序的訪問。通過添加相關功能（+ei，問題沒有實際意義+ep）通過setcap並配置我的個人使用者帳戶（jdavis4）來在登錄時將這些功能分配給它的會話，pam_cap.so並且它一直在進行。我可以通過capability.conf讓個人使用者訪問“ping”和“kill”

但是，我遇到的問題是，如果這是一個生產系統，管理員可能希望通過某種聚合單元分配功能，這樣他們就不必為每個單獨的使用者執行此操作每次他們做一個。這樣，使用者可以被添加到“filesystemAdmin”組並獲得類似的東西CAP_DAC_OVERRIDE或添加到“ProcessManagement”並獲得類似CAP_SYS_NICE和的東西CAP_SYS_KILL。

這目前可能嗎？

你想做的事情是不可能的。不僅pam_cap操縱可繼承的能力（因此它實際上根本不授予任何允許/有效的能力），它還只處理使用者而不是組（甚至不是主要組）。

我們在. @group_ pam_cap.so_ 在撰寫本文時，版本為 2.49。capability.conf``libcap-2.29libcap

pam_cap.so 這裡也有一些文件。

引用自：https://unix.stackexchange.com/questions/74607