作者回复: 赞!
编辑回复: 哈哈别慌哦,咱们后续还有专题加餐,等更新的时间里,你还可以复习已有内容哦。
作者回复: @morse 你用capsh看到的cap_net_raw 应该是在Binding Cap而不是在Effective Cap里。 ubuntu20.04 里安装的ping程序本身允许普通用户ping ICMP. https://unix.stackexchange.com/questions/617927/why-ping-works-without-capability-and-setuid
作者回复: selinux 是通过对object, 例如进程\文件, 打上label来控制这些object的相互作用。
作者回复: 我想你问的问题是关于rootless container的?普通用户可以启动容器,但是用户权限并没有提高,非该用户的文件还是不能读写。