40.3. Privilèges pour exécuter SystemTap
L'exécution des scripts SystemTap nécessite des privilèges système élevés mais, dans certains cas, des utilisateurs non privilégiés peuvent avoir besoin d'exécuter l'instrumentation SystemTap sur leur machine.
Pour permettre aux utilisateurs d'exécuter SystemTap sans accès root, ajoutez des utilisateurs à both de ces groupes d'utilisateurs :
stapdevLes membres de ce groupe peuvent utiliser
stappour exécuter des scripts SystemTap oustaprunpour exécuter des modules d'instrumentation SystemTap.L'exécution de
stapimplique la compilation des scripts SystemTap en modules de noyau et leur chargement dans le noyau. Cela nécessite des privilèges élevés sur le système, qui sont accordés aux membres destapdev. Malheureusement, ces privilèges accordent également un accès root effectif aux membres du groupestapdev. Par conséquent, n'accordez l'appartenance au groupestapdevqu'aux utilisateurs à qui l'on peut faire confiance pour l'accès à la racine.stapusr-
Les membres de ce groupe ne peuvent utiliser que
staprunpour exécuter les modules d'instrumentation SystemTap. En outre, ils ne peuvent exécuter ces modules qu'à partir du répertoire/lib/modules/kernel_version/systemtap/. Ce répertoire doit appartenir uniquement à l'utilisateur root. Ce répertoire ne doit appartenir qu'à l'utilisateur root et ne doit être accessible en écriture qu'à l'utilisateur root.
