- 脚本管控里,shebang和tty(像python -c "print(1)")只要解释器本身verified就可执行,单独的脚本执行这要求脚本文件是verified,然后对于异形执行(像管道重定向这种),采取暂时ban的措施
- 执行管控里,增加对脚本文件扩展属性的判定(暂定为security.tianyuan.interp=1判定为脚本),以及直接放行lib库文件和不放行tmp临时文件,此外,针对超级块里的虚拟文件,暂时想不出好的解决方案直接ban执行,(主要他移出来变成真实文件的时候permission,bprm之类的钩子似乎都找不到,好像无法管控的样子,准备进一步深化 On branch exec_fix