- gt оверквотинг удален setcap только устанавливает для не рута Можно общесисте, Павел Отредиез (ok), 21:41 , 23-Мрт-22 (1)
>[оверквотинг удален] > ... > не предлагать! > Править исходники на C для сброса привилегий - не предлагать. > Сыстемды сервисы с cap - не предлагать. > Патчи Capability-NG от Google заманчивые, это то что в принципе подходит, но > не предлагать. ;) > Хочу чисто существующими xattr file capability права на файл установить так, чтобы > root его запускал и процесс имел пониженные привилегии. > setcap ... > Просмотреть привилегии можно например в pscap.setcap только устанавливает для не рута. Можно общесистемно отключить нужные capabilities. Тебе подойдёт?
- gt оверквотинг удален Какую задачу ты решаешь Может наоборот для не рута выст, Павел Отредиез (ok), 21:42 , 23-Мрт-22 (2)
>[оверквотинг удален] > ... > не предлагать! > Править исходники на C для сброса привилегий - не предлагать. > Сыстемды сервисы с cap - не предлагать. > Патчи Capability-NG от Google заманчивые, это то что в принципе подходит, но > не предлагать. ;) > Хочу чисто существующими xattr file capability права на файл установить так, чтобы > root его запускал и процесс имел пониженные привилегии. > setcap ... > Просмотреть привилегии можно например в pscap.Какую задачу ты решаешь? Может наоборот для не рута выставить нужные cap?
- Что никому здесь CAP не нужны Google в Android умеет сбрасывать права root своим, Аноним (11), 18:13 , 30-Мрт-22 (11)
Что никому здесь CAP не нужны?Google в Android умеет сбрасывать права root своим init: https://chromium.googlesource.com/aosp/platform/system/core/... "If no capabilities are provided, then all capabilities are removed from this service, even if it runs as root." До ядра 2.6.25 права резались общесистемно, а в новых версиях заявлена по поточна поддержка прав. В Linux на каждый процесс можно выставить свои права.
Общесистемные, доступные права в /proc/sys/kernel/cap-bound можно было когдато редактировать lcap: https://www.debian.org/doc/manuals/securing-debian-manual/ch... lcap - A user friendly interface to remove capabilities (kernel-based access control) in the kernel, making the system more secure. For example, executing lcap CAP_SYS_MODULE will remove module loading capabilities (even for the root user). CapInh для root можно выставить в /etc/security/capabilities.conf как сбросить права root процессов с помощью XATTR security.capability?
- https www opennet ru opennews art shtml num 29219http forums grsecurity net , Аноним (13), 08:06 , 28-Фев-23 (13)
|