Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


admin_grundlagen:capabilities

ping mit capability statt suid-Bit

Statt einem Programm über das SETUID-Bit alle Systemrechte zu geben, ist es sinnvoller, nur die Fähigkeiten (capabilities) zu geben, die das Programm zur Erfüllung seines Zwecks benötigt. Das setzt allerdings die Unterstützung des Kernels voraus, welches bestimmte Capabilities bereitstellt, die dann den Programmen gegeben werden können.

Mittels man capabilities kann man die vom verwendeten Kernel angebotenen Capabilities auflisten.

chmod u-s /bin/ping
setcap cap_net_raw+p /bin/ping
getcap /bin/ping

Unter Debian nicht update-fest:

Unter OpenSuSE nicht update-fest:

einer (root) shell eine Capability entziehen

capsh --drop=cap_chown --
chown kurt /etc/passwd

Welcher Prozess hat welche Capabilities?

Pakete: libcap-ng-utils (Debian, Ubuntu)

pscap

Doku

admin_grundlagen/capabilities.txt · Zuletzt geändert: 2020/12/04 14:57 von holger_jakobs