Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux привязка / Linux)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Понижение привилегий root с помощью file capability (CAP)., Аноним (0), 23-Мрт-22, (0) [смотреть все] gt оверквотинг удален setcap только устанавливает для не рута Можно общесисте, Павел Отредиез (ok), 21:41 , 23-Мрт-22, (1) // setcap это замена root suid бита нарезанная на лоскутки Так не отнять капы у ру, Павел Отредиез (ok), 22:05 , 23-Мрт-22, (3) // Какие Capability-NG от Google , Аноним (5), 05:52 , 24-Мрт-22, (5) Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесс, Аноним (5), 07:03 , 24-Мрт-22, (7) Не очень, но давай Собрал аж 12 cap которые не используются, их можно отключить, Аноним (5), 05:49 , 24-Мрт-22, (4) gt оверквотинг удален Какую задачу ты решаешь Может наоборот для не рута выст, Павел Отредиез (ok), 21:42 , 23-Мрт-22, (2)   // Отнимать права у процесов при запуске от root определенных файлов с помощью xatt, Аноним (5), 06:15 , 24-Мрт-22, (6)   А как выставить нужные CAP для не root, правельно, в плане безопасности 1 Мнени, Аноним (8), 11:13 , 24-Мрт-22, (8)   // В первом случае капы даются только на бинарник Во втором Васе вообще С точки з, Павел Отредиез (ok), 18:35 , 24-Мрт-22, (9)   // Садись, двойка В первом случае права CAP даются на бинарник всем, а с помощью DA, Аноним (10), 11:01 , 25-Мрт-22, (10)   Что никому здесь CAP не нужны Google в Android умеет сбрасывать права root своим, Аноним (11), 18:13 , 30-Мрт-22, (11) // Всем нужны, но все стесняются поднять этот вопрос У меня от root для ВСЕХ задач , Аноним (12), 15:35 , 19-Апр-22, (12) https www opennet ru opennews art shtml num 29219http forums grsecurity net , Аноним (13), 08:06 , 28-Фев-23, (13) // Все равно лучше CAP чем нечего Привилегии root процессов разать надо Кто-то выщ, Аноним (14), 14:06 , 28-Фев-23, (14) // С 2005 года TCSEC заменены на Общие критерии Из закрытых систем EAL6 соответств, Аноним (-), 14:43 , 30-Мрт-24, (15) // CC - развод лохов маркетологами Давай тесты сертифицированных по СС OS на предме, Аноним (16), 20:46 , 12-Апр-24, (16) https www opennet ru openforum vsluhforumID3 129886 html 309и вывод pscap с Hu, Аноним (16), 20:51 , 12-Апр-24, (17) 1,2,11,13

Сообщения

[Сортировка по времени | RSS]

2. "Понижение привилегий root с помощью file capability (CAP)."	+/–
Сообщение от Павел Отредиез (ok), 23-Мрт-22, 21:42
>[оверквотинг удален] > ... > не предлагать! > Править исходники на C для сброса привилегий - не предлагать. > Сыстемды сервисы с cap - не предлагать. > Патчи Capability-NG от Google заманчивые, это то что в принципе подходит, но > не предлагать. ;) > Хочу чисто существующими xattr file capability права на файл установить так, чтобы > root его запускал и процесс имел пониженные привилегии. > setcap ... > Просмотреть привилегии можно например в pscap. Какую задачу ты решаешь? Может наоборот для не рута выставить нужные cap?
Ответить | Правка | Наверх | Cообщить модератору

	6. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (5), 24-Мрт-22, 06:15
	> Какую задачу ты решаешь? Отнимать права у процесов при запуске от root определенных файлов с помощью xattr. Именно то, что сделано Google с помощью capability-ng > Может наоборот для не рута выставить нужные cap? Нет, этого делать не стоит совсем. Некоторые идут неверным путем создания "мелкого рута": https://www.linuxjournal.com/magazine/making-root-unprivileged Но там граблей немерено: https://book.hacktricks.xyz/linux-unix/privilege-escalation/... Интересна статистика по дистрам: Название и версия дистрибутива Вывод getcap -r / 2>/dev/null
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (8), 24-Мрт-22, 11:13
	> для не рута выставить нужные cap? А как выставить нужные CAP для не root, правельно, в плане безопасности? 1. Мнение разрабов дистрибутива: groupadd wireshark usermod -a -G wireshark vasya chown root:wireshark /usr/bin/dumpcap chmod a-rwxst,u+rwx,g+x /usr/bin/dumpcap setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap 2 Мое мнение: chmod go-rwst /usr/bin/dumpcap setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap В файле /etc/security/capability.conf добавляем строку: cap_dac_read_search,cap_net_admin,cap_net_raw   vasya В файле /etc/pam.d/auth/system-auth добавляем строку: auth   required   pam_cap.so
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	9. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Павел Отредиез (ok), 24-Мрт-22, 18:35
	>> для не рута выставить нужные cap? > А как выставить нужные CAP для не root, правельно, в плане безопасности? В первом случае капы даются только на бинарник. Во втором Васе вообще. С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (10), 25-Мрт-22, 11:01
	> В первом случае капы даются только на бинарник. Во втором Васе вообще. > С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав. Садись, двойка. В первом случае права CAP даются на бинарник всем, а с помощью DAC право запускать бинарь разрешают только группе wiresharck. Таким образом права CAP фактически получат только члены этой группы и только на процесс dumpcap. Во втором случае в /etc/security/capability.conf, пользователю дается только возможность наследовать определенные права CAP, а сами права он получает только при исполнении файла для которого установлены эти права с битом наследования. Таким образом права CAP фактически получит только определенные в /etc/security/capability.conf пользователи и только на процесс dumpcap. Заметь разницу: Вариант 1 setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap Вариант 2 setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap PS: как права root порезать знаешь? Ссылки на патчи есть?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема