<html><head><title>Samsung Enterprise Portal mySingle</title>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<style id="mysingle_style">P {
        MARGIN-TOP: 5px; FONT-FAMILY: Arial, arial; MARGIN-BOTTOM: 5px; FONT-SIZE: 9pt
}
TD {
        MARGIN-TOP: 5px; FONT-FAMILY: Arial, arial; MARGIN-BOTTOM: 5px; FONT-SIZE: 9pt
}
LI {
        MARGIN-TOP: 5px; FONT-FAMILY: Arial, arial; MARGIN-BOTTOM: 5px; FONT-SIZE: 9pt
}
BODY {
        LINE-HEIGHT: 1.4; MARGIN: 10px; FONT-FAMILY: Arial, arial; FONT-SIZE: 9pt
}
</style>

<meta name="GENERATOR" content="ActiveSquare">
</head><body>
<p>>> We are using Smack to provide application isolation. The launcher needs to set the Smack label<br>>> of the application. Setting the Smack label of a process requires <br>privilege. If there were no<br>>> launcher involved (if the program were exec()ed) we could use the <br>SMACK64EXEC behavior to achieve<br>>> this. Since there is a launcher, and the launcher does not use exec() the launcher requires<br>>> privilege.<br><br>>But this doesn't require root, just a capability attribute for the <br>>launcher binary itself to permit this just for the launcher? And the <br>>launcher can be fired up as part of the session and will gain the <br>>capability from the filesystem attribute rather than through process <br>>inheritance?</p>
<p> </p>
<p>Maybe it is possible to just set the capability instead of root. According to the current functionality, following capabilities may be needed:</p>
<p>- SMACK labeling / setuid() : maybe CAP_DAC_OVERRIDE/CAP_DAC_READ_SEARCH/CAP_CHOWN ?</p>
<p>- chroot() for legacy app : CAP_SYS_CHROOT</p>
<p>- directory mount : CAP_SYS_ADMIN</p>
<p> </p>
<p>I am not quite sure if another capability is needed or not.</p>
<p> </p>
<p> </p><!--SP:youngik.cho--><!--youngik.cho:EP-->
<p> </p></body></html><img src='http://ext.samsung.net/mailcheck/SeenTimeChecker?do=6482f16d7258a5b3291c376b6f7a6eeff484e5b24161ac32cef25661eb30189c3c40f787d33f357d2a25309f192153c249e5ff3dfdc8681d76f80bf81d31c863cf878f9a26ce15a0' border=0 width=0 height=0 style='display:none'>