.\" -*- coding: UTF-8 -*- .\" Copyright © 2017-2020 Mickaël Salaün .\" Copyright © 2019-2020 ANSSI .\" Copyright © 2021 Microsoft Corporation .\" .\" SPDX-License-Identifier: Linux-man-pages-copyleft .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH landlock_restrict_self 2 "30 martie 2023" "Pagini de manual de Linux 6.05.01" .SH NUME landlock_restrict_self \- aplică un set de reguli Landlock .SH BIBLIOTECA Biblioteca C standard (\fIlibc\fP, \fI\-lc\fP) .SH REZUMAT .nf \fB#include \fP /* Definirea constantelor \fBLANDLOCK_*\fP */ \fB#include \fP /* Definirea constantelor \fBSYS_*\fP */ .PP \fBint syscall(SYS_landlock_restrict_self, int \fP\fIruleset_fd\fP\fB,\fP \fB uint32_t \fP\fIfanioane\fP\fB);\fP .SH DESCRIERE Odată ce un set de reguli Landlock este completat cu regulile dorite, apelul de sistem \fBlandlock_restrict_self\fP() permite aplicarea acestui set de reguli pe firul de execuție apelant. A se vedea \fBlandlock\fP(7) pentru o prezentare generală. .PP Un fir poate fi restricționat cu mai multe seturi de reguli care sunt apoi compuse împreună pentru a forma domeniul Landlock al firului. Acest lucru poate fi văzut ca o stivă de seturi de reguli, dar este implementat într\-un mod mai eficient. Un domeniu poate fi actualizat numai în așa fel încât constrângerile fiecărui set de reguli compus în trecut și în viitor să restricționeze firul și viitorii săi copii pe toată durata de viață. Astfel, este posibilă aplicarea treptată a unor politici de control al accesului personalizate cu mai multe seturi de reguli independente provenind din surse diferite (de exemplu, configurația sistemului de inițiere „init”, politica sesiunii utilizatorului, politica integrată a aplicației). Cu toate acestea, majoritatea aplicațiilor ar trebui să aibă nevoie doar de un singur apel la \fBlandlock_restrict_self\fP() și ar trebui să evite un număr arbitrar de astfel de apeluri din cauza limitei seturilor de reguli compuse. În schimb, dezvoltatorii sunt încurajați să construiască un set de reguli adaptat datorită apelurilor multiple la \fBlandlock_add_rule\fP(2). .PP Pentru a aplica un set de reguli, fie apelantul trebuie să aibă capacitatea \fBCAP_SYS_ADMIN\fP în spațiul său de nume de utilizator, fie firul trebuie să aibă deja activat bitul \fIno_new_privs\fP. În ceea ce privește \fBseccomp\fP(2), acest lucru evită scenariile în care procesele neprivilegiate pot afecta comportamentul copiilor privilegiați (de exemplu, din cauza binarelor set\-user\-ID). Dacă acest bit nu a fost deja activat de un antecesor al acestui fir, firul trebuie să efectueze următorul apel: .IP .EX prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0); .EE .PP \fIruleset_fd\fP este un descriptor de fișier de set de reguli Landlock obținut cu \fBlandlock_create_ruleset\fP(2) și complet încărcat cu un set de apeluri către \fBlandlock_add_rule\fP(2). .PP \fIfanioane\fP trebuie să fie 0. .SH "VALOAREA RETURNATĂ" În caz de succes, \fBlandlock_restrict_self\fP() returnează 0. .SH ERORI\-IEȘIRE \fBlandlock_restrict_self\fP() poate eșua din următoarele motive: .TP \fBEOPNOTSUPP\fP Landlock este acceptat de nucleu, dar este dezactivat la pornire. .TP \fBEINVAL\fP \fIfanioane\fP nu este 0. .TP \fBEBADF\fP \fIruleset_fd\fP nu este un descriptor de fișier pentru firul curent. .TP \fBEBADFD\fP \fIruleset_fd\fP nu este un descriptor de fișier de set de reguli. .TP \fBEPERM\fP \fIruleset_fd\fP nu are acces de citire la setul de reguli subiacente, sau firul apelant nu rulează cu \fIno_new_privs\fP, sau nu are \fBCAP_SYS_ADMIN\fP în spațiul de nume al utilizatorului. .TP \fBE2BIG\fP Numărul maxim de seturi de reguli compuse este atins pentru firul de apelare. Această limită este în prezent de 64. .SH STANDARDE Linux. .SH ISTORIC Linux 5.13. .SH EXEMPLE A se vedea \fBlandlock\fP(7). .SH "CONSULTAȚI ȘI" \fBlandlock_create_ruleset\fP(2), \fBlandlock_add_rule\fP(2), \fBlandlock\fP(7) .PP .SH TRADUCERE Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu . .PP Această traducere este documentație gratuită; citiți .UR https://www.gnu.org/licenses/gpl-3.0.html Licența publică generală GNU Versiunea 3 .UE sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE. .PP Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la .MT translation-team-ro@lists.sourceforge.net .ME .