Вопросы Теги

Действительно ли возможно указать группы в/etc/security/capability.conf?

Можно использовать сокет домена Unix и настроить размер буфера с setsockopt().

2
06.05.2013, 21:37
3 ответа

То, что Вы хотите сделать, не возможно. Не только делает pam_cap только управляйте наследуемыми возможностями (таким образом, это на самом деле не предоставляет разрешенной/эффективной возможности вообще), это также только имеет дело с пользователями и не группами (даже основные группы).

2
27.01.2020, 22:14
  • 1
    Если я не получу более полный ответ, то я отмечу это как ответ и upvote он, так как это звучит о праве, но для предоставления щедрости, мне нужна своего рода документация поддержки (который я перечислил как требование для щедрости), причина в конечном счете, это - просто некоторый парень, размещающий что-то в Интернете иначе. –  Bratchley 06.05.2013, 23:31
  • 2
    Единственная документация, которую я имею, pam_pcap.c, который я считал для нахождения ответа (я хочу сделать что-то подобное). Это не имеет дело с группами вообще, и в комментариях (и код) в файле также говорится, что только наследуемые возможности обрабатываются им. –  Dennis Kaarsemaker 06.05.2013, 23:37

Я не нашел ни одной документации, в которой говорилось бы, что возможность.conf может быть назначена непосредственно группе.

Это, по-видимому, является продуктом потребности в pam _cap для «лишения» привилегий от процесса аутентификации, который, вероятно, имеет «все» возможности или достаточные, чтобы стать таковыми. Это создает тенденцию, когда кажется неразумным иметь кумулятивные аддитивные отображения, поскольку это может быстро стать «неконтролируемой структурой». Таким образом, назначения через возможность.conf не являются кумулятивными. Если вы зажжете спичку, это то, что вы получите. Ни больше ни меньше.

Сказав это:

  • можно настроить pam _cap для загрузки возможностей из произвольного файла в формате /etc/security/capability.conf

  • можно использовать скрипты в конфигурации pam. Было бы достаточно тривиально сгенерировать для каждого пользователя -файл Ability.conf для аутентифицирующего пользователя на основе его членства в группе и передать его модулю pam _cap.

Это не «элегантно» или «идеально», но для большой -пользовательской базы, похожей на ldap, это, вероятно, более поддается проверке, чем «синхронизация через 8-й уровень jellyware» между действительными пользователями и полной -текстовой записью. на пользователя в одном файле /etc/security/capability.conf.

0
27.01.2020, 22:14

Мы добавили синтаксис @groupв поддержку pam_cap.soи capability.confв libcap-2.29. На момент написанияlibcapбыла версия 2.49 .

Существует также некоторая документация дляpam_cap.soздесь .

2
17.05.2021, 20:10

Теги

Похожие вопросы