如何为特定用户设置perf权限?
(kernel.perf_event_paranoid 不是一个选项,因为它是全局的)
内核文档不清楚或不完整:
https://www.kernel.org/doc/html/latest/admin-guide/perf-security.html#privileged-perf-users-groups
- 将所需的功能分配给 Perf 工具可执行文件,并为 perf_users 组的成员启用监视和可观察权限 6 :
引自此网页。您可以使用以下命令创建一个组
perf_userssudo -s# groupadd perf_users
然后使特定的程序文件
perf# chgrp perf_users perf
# chmod o-rwx perf
最后,它展示了如何赋予该文件功能:
# setcap "cap_perfmon,cap_sys_ptrace,cap_syslog=ep" perf
该文档还包括一些用于验证文件是否按预期配置的命令:
ls -alhFgetcap perfcap_ipc_lock38此时,任何可以成功执行此
perf也许您缺少将用户
usernamesudo usermod -G perf_users -a username关于创建外壳包装器的部分,它说具有以下内容的文件:
exec /usr/sbin/capsh --user=$SUDO_USER --iab=^cap_perfmon --secbits=239 -- -l
应在
/usr/local/bin/perf.shellsudo vi /usr/local/bin/perf.shellvisudo chmod +x /usr/local/bin/perf.shell用于让
rootsudoperf_users/etc/sudoers%perf_users ALL=/usr/local/bin/perf.shell
您需要
sudo vi /etc/sudoers鉴于该编辑,该部分以如何进入此 shell 环境的示例结束:
$ sudo perf.shell
从这里开始,在此 shell 上下文中执行的每个二进制文件都将提升指定的功能。