Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- admin_grundlagen:capabilities [2025/06/03 12:50]
sh [Welcher Prozess hat welche Capabilities?]
+++ admin_grundlagen:capabilities [2025/09/05 13:03] (aktuell)
ingo_wichmann
@@ Zeile 1: / Zeile 1: @@
-====== ping mit capability statt suid-Bit ======
+ ====== ping mit capability statt suid-Bit ======
 Statt einem Programm über das SETUID-Bit **alle** Systemrechte zu geben, ist es sinnvoller, nur die Fähigkeiten (capabilities) zu geben, die das Programm zur Erfüllung seines Zwecks benötigt. Das setzt allerdings die Unterstützung des Kernels voraus, welches bestimmte Capabilities bereitstellt, die dann den Programmen gegeben werden können.
@@ Zeile 48: / Zeile 48: @@
   capsh --decode=000001ffffffdffe
+===== rsync read only =====
+zu sichernder Server:
+  apt install rsync acl libcap2-bin
+  useradd -r -d /srv/rosync -s /usr/bin/sh rosync
+  install -d -o rosync -g rosync -m 700 /srv/rosync/.ssh
+  install -o rosync -g rosync -m 600 /dev/null /srv rosync/.ssh/authorized_keys
+  cp /usr/bin/rsync /usr/local/sbin/rsync-for-backup
+  chown root:root /usr/local/sbin/rsync-for-backup
+  chmod 700 /usr/local/sbin/rsync-for-backup
+  setfacl -m user:rosync:rx /usr/local/sbin/rsync-for-backup
+  setcap cap_dac_read_search+ep /usr/local/sbin/rsync-for-backup
+TODO: include rrsync?
+pull initierender Server:
+  apt install rsync
+  ssh-keygen -N '' -f .ssh/id_ed25519_rosync -C 'rosync backup'
+  ssh root@otherserver 'cat > /srv/rosync/.ssh/authorized_keys' < .ssh/id_ed25519_rosync.pub
+  rsync -ax -e 'ssh -i  .ssh/id_ed25519_rosync' --rsync-path=/usr/local/sbin/rsync-for-backup rosync@192.168.122.74:/ backup
+Was nicht gehen sollte:
+  rsync -ax -e 'ssh -i  .ssh/id_ed25519_rosync' --rsync-path=/usr/local/sbin/rsync-for-backup /etc/passwd rosync@192.168.122.74:/srv
 ==== systemd + caps ====

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge