Benutzer-Werkzeuge
admin_grundlagen:capabilities
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Letzte Überarbeitung Beide Seiten, nächste Überarbeitung | ||
|
admin_grundlagen:capabilities [2014/09/01 10:23] ingo_wichmann [ping mit capability statt suid-Bit] |
admin_grundlagen:capabilities [2022/12/09 05:56] carsten_strotmann |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== ping mit capability statt suid-Bit ====== | ====== ping mit capability statt suid-Bit ====== | ||
| - | chmod u-s /bin/ping | ||
| - | setcap cap_net_raw=p /bin/ping | ||
| - | getcap /bin/ping | ||
| - | ====== Doku ====== | + | Statt einem Programm über das SETUID-Bit **alle** Systemrechte zu geben, ist es sinnvoller, nur die Fähigkeiten (capabilities) zu geben, die das Programm zur Erfüllung seines Zwecks benötigt. Das setzt allerdings die Unterstützung des Kernels voraus, welches bestimmte Capabilities bereitstellt, die dann den Programmen gegeben werden können. |
| - | * http://www.admin-magazin.de/Das-Heft/2009/03/Rechte-ueber-File-Capabilities-einschraenken | + | |
| - | Unter Fedora 15 soll Capabilities an Stelle von SUID-Bit verwenden: | + | Mittels ''man capabilities'' kann man die vom verwendeten Kernel angebotenen Capabilities auflisten. |
| - | https://bugzilla.redhat.com/show_bug.cgi?id=646440 | + | |
| - | RHEL/CentOS 6 basiert auf Fedora 12 | + | |
| - | Problem: | + | cat /usr/bin/ping > PING |
| + | ./PING 9.9.9.9 | ||
| + | als root | ||
| + | setcap cap_net_raw=p ./PING | ||
| + | getcap ./PING | ||
| + | als user | ||
| + | ./PING 9.9.9.9 | ||
| Unter Debian nicht update-fest: | Unter Debian nicht update-fest: | ||
| - | http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=662845 | + | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=662845|Debian Bug 662845]] |
| - | http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=502580 | + | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=502580|Debian Bug 502580]] |
| + | |||
| + | |||
| + | Moderne Kernel :?: (oder eine andere black magick) erlauben ''ping'' auch ohne Capabilities. | ||
| + | |||
| + | setcap cap_net_raw,cap_net_admin=pe /usr/sbin/tcpdump | ||
| + | |||
| + | Danach kann jeder User tcpdump benutzen | ||
| + | ====== einer (root) shell eine Capability entziehen ====== | ||
| + | ''capsh'' startet eine neue Shell mit veränderten Capabilities. | ||
| + | |||
| + | capsh --drop=cap_chown,cap_net_raw -- | ||
| + | chown kurt /etc/passwd | ||
| + | ping 9.9.9.9 | ||
| + | |||
| + | ====== Welcher Prozess hat welche Capabilities? ====== | ||
| + | Pakete: libcap-ng-utils | ||
| + | pscap | ||
| + | |||
| + | ====== Doku ====== | ||
| + | * http://www.admin-magazin.de/Das-Heft/2009/03/Rechte-ueber-File-Capabilities-einschraenken | ||
| + | * [[http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree/include/uapi/linux/capability.h|Liste der Capabilities im Kernel]] | ||
| - | Unter OpenSuSE nicht update-fest: | ||
| - | https://features.opensuse.org/307254 | ||
admin_grundlagen/capabilities.txt · Zuletzt geändert: 2023/09/12 10:17 von sh
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
