我在 learning Linux Kernel Programming找到了这个答案,我的问题更具体针对Linux内核的安全功能.我想知道如何限制特权用户或进程对其他进程和文件的访问权限,而不是root的完全访问权限.

直到现在我发现：

>自由访问控制(DAC)的用户和组,区分读取,写入和执行用户,组和其他
>用户root用于更高权限的任务
> setuid和setgid用于扩展用户的DAC并设置呼叫过程的组/用户ID,例如用户运行具有root权限的ping以打开Linux套接字
>细粒度权利的能力,例如删除suid位并设置cap_net_raw
>控制组(Cgroup)以限制对资源(即cpu,网络,io设备)的访问
>命名空间,用于分隔IPC,文件系统,pid上的进程视图
> Secure Computing(Seccomp)限制系统调用
> Linux安全模块(LSM),用于添加其他安全功能,如强制访问控制,例如： SELinux与类型执行

清单是否完整？在编写问题时,我发现fanotify监视文件系统事件,例如用于反病毒扫描.可能有更多安全功能可用.

是否有更多Linux安全功能可以从文件或进程内部或外部以可编程方式使用以限制特权访问？也许有一个完整的清单.