Benutzer-Werkzeuge
admin_grundlagen:capabilities
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
|
admin_grundlagen:capabilities [2022/06/28 14:10] sh [ping mit capability statt suid-Bit] |
admin_grundlagen:capabilities [2025/06/03 12:50] (aktuell) sh [Welcher Prozess hat welche Capabilities?] |
||
|---|---|---|---|
| Zeile 17: | Zeile 17: | ||
| * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=502580|Debian Bug 502580]] | * [[http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=502580|Debian Bug 502580]] | ||
| - | |||
| - | Unter OpenSuSE nicht update-fest: | ||
| - | * [[https://features.opensuse.org/307254|Opensuse Bug 307254]] | ||
| Moderne Kernel :?: (oder eine andere black magick) erlauben ''ping'' auch ohne Capabilities. | Moderne Kernel :?: (oder eine andere black magick) erlauben ''ping'' auch ohne Capabilities. | ||
| + | sysctl -a | grep ping | ||
| setcap cap_net_raw,cap_net_admin=pe /usr/sbin/tcpdump | setcap cap_net_raw,cap_net_admin=pe /usr/sbin/tcpdump | ||
| Danach kann jeder User tcpdump benutzen | Danach kann jeder User tcpdump benutzen | ||
| + | |||
| + | |||
| ====== einer (root) shell eine Capability entziehen ====== | ====== einer (root) shell eine Capability entziehen ====== | ||
| ''capsh'' startet eine neue Shell mit veränderten Capabilities. | ''capsh'' startet eine neue Shell mit veränderten Capabilities. | ||
| Zeile 36: | Zeile 36: | ||
| Pakete: libcap-ng-utils | Pakete: libcap-ng-utils | ||
| pscap | pscap | ||
| + | getpcap <pid> | ||
| + | | ||
| + | == low level == | ||
| + | grep ^Cap /proc/<pid>/status | ||
| + | | ||
| + | CapInh: 0000000000000000 | ||
| + | CapPrm: 000001ffffffdffe | ||
| + | CapEff: 000001ffffffdffe | ||
| + | CapBnd: 000001ffffffdffe | ||
| + | CapAmb: 0000000000000000 | ||
| + | | ||
| + | capsh --decode=000001ffffffdffe | ||
| + | ==== systemd + caps ==== | ||
| + | systemctl show <unit> | grep -i cap | ||
| ====== Doku ====== | ====== Doku ====== | ||
| * http://www.admin-magazin.de/Das-Heft/2009/03/Rechte-ueber-File-Capabilities-einschraenken | * http://www.admin-magazin.de/Das-Heft/2009/03/Rechte-ueber-File-Capabilities-einschraenken | ||
admin_grundlagen/capabilities.1656425451.txt.gz · Zuletzt geändert: 2022/06/28 14:10 von sh
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
