Вопросы Теги

Передающие возможности через должностное лицо

Только для сообщения, потому что это - то, на чем я обосновался, будучи характерным для этого случая и поэтому лучшего решения, означает изменить /etc/apt/apt.conf добавить строку для прокси:

Acquire::http::Proxy "http://yourproxyaddress:proxyport";

Поскольку эта система находится в значительной степени постоянно позади прокси, это - лучшее решение, чем использование http_proxy переменная среды в конечном счете.

8
12.05.2014, 17:12
2 ответа
[1128732] Получается, что установка +i на обертке не [1129219], а [1129220] добавляет возможность к [1129221]CAP_INHERITABLE[1129222], установленной для процесса обмотки, таким образом, она не передается через [1129223]exec[1129224]. Поэтому мне пришлось вручную добавить [1129225]CAP_DAC_OVERRIDE[1129226] в [1129227]CAP_INHERITABLE[1129228] перед вызовом [1129229]execl[1129230]:

Кроме того, я должен был добавить [1129231]cap_dac_override[1129232] к разрешенным возможностям файла, установленным на [1129233]/usr/bin/net[1129234], и установить эффективный бит:

Думаю, теперь я полностью понимаю, что происходит:

Обертка должна [1129774]CAP_DAC_OVERRIDE[1129775] в своем разрешенном множестве, чтобы она могла добавить его к своему наследуемому множеству. 

   tcp        0     52 192.168.1.127:22        121.7.51.154:56383      ESTABLISHED
Наследуемое множество обертки отличается от своего набора файлов, поэтому установка +i в файле бесполезна; обертка должна явно добавить [1129776]CAP_DAC_OVERRIDE[1129777] в [1129778]CAP_INHERITABLE[1129779] с помощью [1129780]cap_set_flag[1129781]/[1129782]cap_set_proc[1129783].

Файл [1129784]net[1129785] должен иметь [1129786]CAP_DAC_OVERRIDE[1129787] в его наследуемом множестве, чтобы он мог фактически наследовать возможность из обёртки в своём [1129788]CAP_PERMITTED[1129789] множестве. Также необходимо установить эффективный бит, чтобы он автоматически перешел в [1129790]CAP_EFFECTIVE[1129791].

8
27.01.2020, 20:12
[117158] думаю, вам нужно и то, и другое: [12239] флаги [117840]pe[117841] на [117842]регистровых строках [117843] говорят о том, что запуск программы приобретает возможность. Флаг [117844]i[117845] на [117846]net[117847] говорит, что возможность может быть унаследована от вызывающей программы.[117161].
1
27.01.2020, 20:12

Теги

Похожие вопросы