Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
admin_grundlagen:capabilities [2021/12/07 13:41] sh [ping mit capability statt suid-Bit] |
admin_grundlagen:capabilities [2023/09/12 10:17] (aktuell) sh [ping mit capability statt suid-Bit] |
||
---|---|---|---|
Zeile 18: | Zeile 18: | ||
- | Unter OpenSuSE nicht update-fest: | + | Moderne Kernel :?: (oder eine andere black magick) erlauben ''ping'' auch ohne Capabilities. |
- | * [[https://features.opensuse.org/307254|Opensuse Bug 307254]] | + | sysctl -a | grep ping |
+ | |||
+ | setcap cap_net_raw,cap_net_admin=pe /usr/sbin/tcpdump | ||
+ | |||
+ | Danach kann jeder User tcpdump benutzen | ||
+ | |||
====== einer (root) shell eine Capability entziehen ====== | ====== einer (root) shell eine Capability entziehen ====== | ||
''capsh'' startet eine neue Shell mit veränderten Capabilities. | ''capsh'' startet eine neue Shell mit veränderten Capabilities. | ||
- | capsh --drop=cap_chown -- | + | capsh --drop=cap_chown,cap_net_raw -- |
chown kurt /etc/passwd | chown kurt /etc/passwd | ||
+ | ping 9.9.9.9 | ||
====== Welcher Prozess hat welche Capabilities? ====== | ====== Welcher Prozess hat welche Capabilities? ====== |