Pytania otagowane jako capabilities

3
Polecenie uruchomienia procesu potomnego „offline” (bez sieci zewnętrznej) w systemie Linux
Mam program, który chciałbym przetestować w trybie offline bez usuwania mojej faktycznej sieci. Ten program nadal musiałby łączyć się z gniazdami lokalnymi, w tym gniazdami domeny unix i sprzężeniem zwrotnym. Musi także nasłuchiwać w pętli zwrotnej i być widoczny dla innych aplikacji. Ale próby połączenia ze zdalnym komputerem powinny zakończyć …
2
Odznacz `setcap` dodatkowe możliwości na eksluzywnym
Odpowiedź do Linux: pozwala użytkownikowi na słuchanie portu poniżej 1024 określonej dając wykonywalne dodatkowych uprawnień przy użyciu setcaptak, że program może wiązać się z portami <1024: setcap 'cap_net_bind_service=+ep' /path/to/program Jaki jest prawidłowy sposób cofnięcia tych uprawnień?
1
Czy możliwości mogą być użyte w skryptach bez ustawiania binarnego interpretera?
Obecnie używam cap_net_bind_service MY_USERNAMEw /etc/security/capability.conf. Teraz muszę tylko ustawić cap_net_bind_service+iinterpreter mojego ulubionego języka skryptowego, aby móc dodać CAP_NET_BIND_SERVICEdo efektywnego zestawu poprzez libcap [-ng]. Działa to dobrze, ale zastanawiam się, czy istnieje sposób na osiągnięcie tego samego bez ustawiania jakichkolwiek ograniczeń dla pliku binarnego interpretera. Chociaż nie jest to duży problem …
3
Jak korzystać z capsh: Próbuję uruchomić nieuprzywilejowanego polecenia ping, z minimalnymi możliwościami
Eksperymentuję z możliwościami na Debian Gnu / Linux. Skopiowałem / bin / ping do mojego bieżącego katalogu roboczego. Zgodnie z oczekiwaniami nie działa, pierwotnie był to setuid root. Następnie daję swojemu pingowi minimalne możliwości (nie rootowanie) sudo /sbin/setcap cap_net_raw=ep ./ping, a mój ping działa zgodnie z oczekiwaniami. Następnie, sudo /sbin/setcap …
8
Jak zapobiec zapisywaniu plików przez proces
Chcę uruchomić polecenie w systemie Linux w taki sposób, że nie można utworzyć ani otworzyć żadnych plików do zapisu. Nadal powinien móc normalnie odczytywać pliki (więc pusty chroot nie jest opcją) i nadal móc zapisywać do plików już otwartych (szczególnie standardowe wyjście). Punkty bonusowe, jeśli zapis plików do niektórych katalogów …
1
„setcap” zastępuje ostatnią możliwość. Jak ustawić wiele możliwości?
Chcę dać węzłu.js możliwość nasłuchiwania na porcie 80 i zamknąć komputer. Początkowo próbowałem te dwa polecenia po kolei: setcap cap_net_bind_service=+ep /usr/bin/nodejs setcap cap_sys_boot=+ep /usr/bin/nodejs Następnie moja aplikacja nie mogła się połączyć z portem 80. Sprawdziłem za pomocą getcap: # getcap /usr/bin/nodejs /usr/bin/nodejs = cap_sys_boot+ep Jeśli ponownie uruchomię polecenie setcap dla …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.