Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
admin_grundlagen:capabilities [2019/06/18 14:41] ingo_wichmann [Doku] |
admin_grundlagen:capabilities [2020/12/04 14:56] holger_jakobs [ping mit capability statt suid-Bit] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== ping mit capability statt suid-Bit ====== | ====== ping mit capability statt suid-Bit ====== | ||
+ | |||
+ | Statt einem Programm über das SETUID-Bit **alle** Systemrechte zu geben, ist es sinnvoller, nur die Fähigkeiten (capabilities) zu geben, die das Programm zur Erfüllung seines Zwecks benötigt. Das setzt allerdings die Unterstützung des Kernels voraus, welches bestimmte Capabilities bereitstellt, die dann den Programmen gegeben werden können. | ||
+ | |||
chmod u-s /bin/ping | chmod u-s /bin/ping | ||
setcap cap_net_raw+p /bin/ping | setcap cap_net_raw+p /bin/ping | ||
getcap /bin/ping | getcap /bin/ping | ||
+ | Unter Debian nicht update-fest: | ||
+ | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=662845|Debian Bug 662845]] | ||
+ | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=502580|Debian Bug 502580]] | ||
+ | |||
+ | |||
+ | Unter OpenSuSE nicht update-fest: | ||
+ | * [[https://features.opensuse.org/307254|Opensuse Bug 307254]] | ||
====== einer (root) shell eine Capability entziehen ====== | ====== einer (root) shell eine Capability entziehen ====== | ||
capsh --drop=cap_chown -- | capsh --drop=cap_chown -- | ||
Zeile 16: | Zeile 26: | ||
* [[http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree/include/uapi/linux/capability.h|Liste der Capabilities im Kernel]] | * [[http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree/include/uapi/linux/capability.h|Liste der Capabilities im Kernel]] | ||
- | Problem: | ||
- | Unter Debian nicht update-fest: | ||
- | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=662845|Debian Bug 662845]] | ||
- | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=502580|Debian Bug 502580]] | ||
- | |||
- | |||
- | Unter OpenSuSE nicht update-fest: | ||
- | * [[https://features.opensuse.org/307254|Opensuse Bug 307254]] |