forum.opennet.ru

"Понижение привилегий root с помощью file capability (CAP)."

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Понижение привилегий root с помощью file capability (CAP)."	+/–
Сообщение от Аноним (8), 24-Мрт-22, 11:13
> для не рута выставить нужные cap? А как выставить нужные CAP для не root, правельно, в плане безопасности? 1. Мнение разрабов дистрибутива: groupadd wireshark usermod -a -G wireshark vasya chown root:wireshark /usr/bin/dumpcap chmod a-rwxst,u+rwx,g+x /usr/bin/dumpcap setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap 2 Мое мнение: chmod go-rwst /usr/bin/dumpcap setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap В файле /etc/security/capability.conf добавляем строку: cap_dac_read_search,cap_net_admin,cap_net_raw vasya В файле /etc/pam.d/auth/system-auth добавляем строку: auth required pam_cap.so
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Понижение привилегий root с помощью file capability (CAP)., Аноним, 23-Мрт-22, 17:55 [смотреть все]

gt оверквотинг удален setcap только устанавливает для не рута Можно общесисте, Павел Отредиез, 23-Мрт-22, 21:41 (1) //
- setcap это замена root suid бита нарезанная на лоскутки Так не отнять капы у ру, Павел Отредиез, 23-Мрт-22, 22:05 (3) //
  - Какие Capability-NG от Google , Аноним, 24-Мрт-22, 05:52 (5)
  - Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесс, Аноним, 24-Мрт-22, 07:03 (7)
- Не очень, но давай Собрал аж 12 cap которые не используются, их можно отключить, Аноним, 24-Мрт-22, 05:49 (4)
gt оверквотинг удален Какую задачу ты решаешь Может наоборот для не рута выст, Павел Отредиез, 23-Мрт-22, 21:42 (2) //
- Отнимать права у процесов при запуске от root определенных файлов с помощью xatt, Аноним, 24-Мрт-22, 06:15 (6)
- А как выставить нужные CAP для не root, правельно, в плане безопасности 1 Мнени , Аноним, 24-Мрт-22, 11:13 (8) //
  - В первом случае капы даются только на бинарник Во втором Васе вообще С точки з, Павел Отредиез, 24-Мрт-22, 18:35 (9) //
    - Садись, двойка В первом случае права CAP даются на бинарник всем, а с помощью DA, Аноним, 25-Мрт-22, 11:01 (10)
Что никому здесь CAP не нужны Google в Android умеет сбрасывать права root своим, Аноним, 30-Мрт-22, 18:13 (11) //
- Всем нужны, но все стесняются поднять этот вопрос У меня от root для ВСЕХ задач , Аноним, 19-Апр-22, 15:35 (12)
https www opennet ru opennews art shtml num 29219http forums grsecurity net , Аноним, 28-Фев-23, 08:06 (13) //
- Все равно лучше CAP чем нечего Привилегии root процессов разать надо Кто-то выщ, Аноним, 28-Фев-23, 14:06 (14) //
  - С 2005 года TCSEC заменены на Общие критерии Из закрытых систем EAL6 соответств, Аноним, 30-Мрт-24, 14:43 (15) //
    - CC - развод лохов маркетологами Давай тесты сертифицированных по СС OS на предме, Аноним, 12-Апр-24, 20:46 (16)
      - https www opennet ru openforum vsluhforumID3 129886 html 309и вывод pscap с Hu, Аноним, 12-Апр-24, 20:51 (17)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру