Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux привязка / Linux)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Понижение привилегий root с помощью file capability (CAP)., Аноним (0), 23-Мрт-22, (0) [смотреть все] gt оверквотинг удален setcap только устанавливает для не рута Можно общесисте, Павел Отредиез (ok), 21:41 , 23-Мрт-22, (1)   // setcap это замена root suid бита нарезанная на лоскутки Так не отнять капы у ру, Павел Отредиез (ok), 22:05 , 23-Мрт-22, (3)   // Какие Capability-NG от Google , Аноним (5), 05:52 , 24-Мрт-22, (5)   Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесс, Аноним (5), 07:03 , 24-Мрт-22, (7)   Не очень, но давай Собрал аж 12 cap которые не используются, их можно отключить, Аноним (5), 05:49 , 24-Мрт-22, (4)   gt оверквотинг удален Какую задачу ты решаешь Может наоборот для не рута выст, Павел Отредиез (ok), 21:42 , 23-Мрт-22, (2) // Отнимать права у процесов при запуске от root определенных файлов с помощью xatt, Аноним (5), 06:15 , 24-Мрт-22, (6) А как выставить нужные CAP для не root, правельно, в плане безопасности 1 Мнени, Аноним (8), 11:13 , 24-Мрт-22, (8) // В первом случае капы даются только на бинарник Во втором Васе вообще С точки з, Павел Отредиез (ok), 18:35 , 24-Мрт-22, (9) // Садись, двойка В первом случае права CAP даются на бинарник всем, а с помощью DA, Аноним (10), 11:01 , 25-Мрт-22, (10) Что никому здесь CAP не нужны Google в Android умеет сбрасывать права root своим, Аноним (11), 18:13 , 30-Мрт-22, (11) // Всем нужны, но все стесняются поднять этот вопрос У меня от root для ВСЕХ задач , Аноним (12), 15:35 , 19-Апр-22, (12) https www opennet ru opennews art shtml num 29219http forums grsecurity net , Аноним (13), 08:06 , 28-Фев-23, (13) // Все равно лучше CAP чем нечего Привилегии root процессов разать надо Кто-то выщ, Аноним (14), 14:06 , 28-Фев-23, (14) // С 2005 года TCSEC заменены на Общие критерии Из закрытых систем EAL6 соответств, Аноним (-), 14:43 , 30-Мрт-24, (15) // CC - развод лохов маркетологами Давай тесты сертифицированных по СС OS на предме, Аноним (16), 20:46 , 12-Апр-24, (16) https www opennet ru openforum vsluhforumID3 129886 html 309и вывод pscap с Hu, Аноним (16), 20:51 , 12-Апр-24, (17) 1,2,11,13

Сообщения

[Сортировка по времени | RSS]

1. "Понижение привилегий root с помощью file capability (CAP)."	+/–
Сообщение от Павел Отредиез (ok), 23-Мрт-22, 21:41
>[оверквотинг удален] > ... > не предлагать! > Править исходники на C для сброса привилегий - не предлагать. > Сыстемды сервисы с cap - не предлагать. > Патчи Capability-NG от Google заманчивые, это то что в принципе подходит, но > не предлагать. ;) > Хочу чисто существующими xattr file capability права на файл установить так, чтобы > root его запускал и процесс имел пониженные привилегии. > setcap ... > Просмотреть привилегии можно например в pscap. setcap только устанавливает для не рута. Можно общесистемно отключить нужные capabilities. Тебе подойдёт?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Павел Отредиез (ok), 23-Мрт-22, 22:05
	setcap это замена root suid бита нарезанная на лоскутки. Так не отнять капы у рута. Это вообще наверное не возможно без патчей. Патчи есть.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (5), 24-Мрт-22, 05:52
	> Так не отнять капы у рута. Это вообще наверное не возможно без патчей. Патчи есть. Какие? Capability-NG от Google?
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (5), 24-Мрт-22, 07:03
	> Так не отнять капы у рута. Это вообще наверное не возможно без патчей. Патчи есть. Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесса. Как раз смотря на простыни политик MAC мне и захотелось иметь возможность с помощью XATTR отнимать, пофайлово, привилегии CAP у root процессов. Можно сказать, что я очень ленив, а мне надо результат максимально просто. Править код C - сложно. Поддерживать кучу скриптов с setpriv, capsh и настройки сыстемды с cap - сложно. Поддерживать политики MAC с пофайлово указанными CAP для root - сложно. XATTR с необходимыми CAP для файла - самое простое и правильное решение этой задачи.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	4. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (5), 24-Мрт-22, 05:49
	Не очень, но давай. Собрал аж 12 cap которые не используются, их можно отключить общесистемно. Эффект для безопасности - почти никакой. Задача управлять CAP на уровне файла запускаемого от root. Уровень пользователя не подходит. А в /etc/security/capability.conf можно root привилегии порезать?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема