1
ответ
Разница между запуском процесса с правами root и запущенным процессом со всеми возможностями Linux
У меня есть контейнер докеров, который отлично работает в модуле kubernetes при наличии привилегий: в спецификации установлено значение true. Но когда я запускаю тот же контейнер докеров, предоставляя все возможности Linux, ...
04.02.2019
1
ответ
Ping не работает в новом контейнере C
Я работал над написанием собственного контейнера Linux из нуля в C. Я позаимствовал код из нескольких мест и создал базовую версию с пространствами имен и контрольными группами. По сути, я клонирую новый ...
21.01.2019
1
ответ
SetCap устарел?
Я начинаю веб-сервер как нераню, используя файл системного блока. Я получаю слушаю TCP: 80: Bind: разрешение запрещено, даже если я уже запустил setcap cap_net_bind_service = + ep на исполняемости. ...
15.12.2018
1
ответ
Возможности Linux с пространствами имен пользователей
Я не понимаю, как возможности файлов работают с пространствами имен пользователей. Насколько я понимаю, если у файла есть возможность, то любой поток / процесс, выполняющий файл, может получить эту возможность. ...
09.02.2018
1
ответ
Безопасность возможностей по сравнению с setuid (LD_PRELOAD, и т.д.)
Я знаю что, если процесс выполняется setuid, что он защищен от различных вещей, которые могли ниспровергать процесс, как LD_PRELOAD и ptrace (отладка). Но я не смог найти что-либо на...
23.05.2017
1
ответ
Как выполнить smartctl как корень, не переключаясь на корень?
У меня есть этот код C, который выполняет команду smartctl и берет ее вывод: #include <iostream> #include <cstdio> #include <cstdlib> использование станд. пространства имен; международное основное () {суд <<"...
23.05.2017
1
ответ
Как читать каталог / proc / / fd процесса, который поддерживает Linux?
Как пользователь без полномочий root я запускаю процесс . Двоичному файлу процесса предоставлена возможность cap_sys_resource. Несмотря на то, что процесс принадлежит тому же пользователю, этот пользователь не может прочитать его / proc // fd ...
12.05.2017
1
ответ
Как определить, какие возможности требуются для команды?
Когда я запускаю команду в контейнере docker, я вижу: # ip netns exec 9ee961d90990 ifconfig
установка сетевого пространства имен "9ee961d90990" не удалась: Операция не разрешена Я могу запустить свой контейнер ...
28.06.2016
1
ответ
Могу ли я добавить правило iptables изнутри программы C Linux только с возможностями, или мне обязательно нужен root?
Мне нужно добавить правило iptables изнутри программы C Linux. Как мне поступить? Нужны ли мне привилегии root или я могу просто предоставить некоторые возможности? Я попытался предоставить CAP_NET_RAW + iep и использовать popen (...
05.10.2015
1
ответ
Замена для cap-bound
У нас есть старое ядро Linux с нуля, используемое в одной из наших систем, которое использует старый механизм cap-bound (изменение / proc / sys / kernel / cap-bound), чтобы ограничить возможности системы. Это было ...
11.08.2015
1
ответ
Какие возможности Linux мне нужны для записи в / proc / sys / vm / drop_caches?
Я пытаюсь очистить кеш файловой системы из контейнера докеров, например: docker run --rm ubuntu: vivid sh -c "/ bin / echo 3> / proc / sys / vm / drop_caches" Если я запускаю эту команду, я получаю sh: 1: ...
13.06.2015
1
ответ
Принцип наименьшего количества полномочия: помощнику Authbind действительно нужен корень setuid, или он может работать с cap_net_bind_services?
Помощнику Authbind действительно нужен корень setuid, или он может работать с возможностью CAP_NET_BIND_SERVICES и все еще работать?
14.02.2014
1
ответ
Возможности сценария на Linux
Если я хочу установить возможность (возможности (7)), такие как CAP_NET_BIND_SERVICE, на исполняемом файле, и тот файл является сценарием, сделайте я должен установить возможность (setcap (8)) на запуске интерпретатора...
20.08.2013
0
ответов
Какие действия не может выполнять не -корневой процесс?
Очевидно, что он не может rwx-файлы, на которые у него нет разрешения. Но я говорю о других «действиях», я знаю, что это привязка к портам с номером меньше 1024. Что еще?
25.11.2021
0
ответов
Невозможно снова назначить права суперпользователя моему процессу с помощью setuid (0 )в том же цикле загрузки
Я добавил возможность, используя следующую команду на терминале (вместо установки CAP _SETUID в папке -в файле ). Проверено, что setuid/seteuid работает. setcap cap _sys _admin,cap _setuid+ep /usr/bin/
23.11.2021
0
ответов
Можно ли использовать возможность cap _setfcap для предоставления полных возможностей исполняемому файлу?
У меня есть файл (давайте назовем его prog )с возможностью _setfcap. Можно ли с его помощью предоставить проге (самому файлу )полные возможности? Я знаю, что это не рекомендуется, я просто хочу знать, может ли это быть...
26.11.2020
0
ответов
Обходит ли пользователь root проверку возможностей?
Обходит ли пользователь root проверку возможностей в ядре или он подвергается проверке возможностей, начиная с Linux 2.2? Могут ли приложения проверять и запрещать доступ для пользователя root,...
28.05.2020
0
ответов
Почему нет системного вызова «установить эффективные дополнительные GID»?
«Эффективный идентификатор пользователя/группы» процесса — это то, что ОС использует для определения того, разрешено ли процессу какое-либо действие (например, открытие файла). Вы можете установить эффективный первичный GID текущего ...
31.07.2019
0
ответов
htop - как включить новые показатели для "учета задержек"?
У htop есть несколько новых показателей: PERCENT_CPU_DELAY (CPUD%) Процент времени, затраченного на ожидание процессора (во время работы). Требуется CAP_NET_ADMIN. PERCENT_IO_DELAY (IOD%)...
13.05.2019
0
ответов
Что означает возможность «ep»?
root@macine:~# getcap ./some_bin
./some_bin =ep Что означает "ep"? Каковы возможности этого бинарника?
27.04.2019
0
ответов
Docker, на котором запущено приложение с поддержкой NET_ADMIN: сопряженные риски
Я пытаюсь запустить приложение в контейнере докера. Для запуска приложения требуются права root. sudo docker run --restart always --network host --cap-add NET_ADMIN -d -p 53: 53 / udp my-image Мой вопрос:
...
26.03.2019
0
ответов
Ошибка с setcap cap_sys_time + ep / user / mybinaryprogram
Я пытаюсь использовать возможности (cap_sys_time), но когда я запускаю это Команда: setcap cap_sys_time + ep / user / mybysyprogram в моей системе, я получаю следующую ошибку: не удалось установить возможности ...
12.11.2018
0
ответов
, Как делает Magisk на Android, работают su без setuid и возможностей?
я читал в другом ответе, что на Android двоичные файлы su стараются не должными быть быть setuid при помощи возможностей файловой системы как cap_setuid. Но затем я пытался проверить это, и к моему удивлению, я нашел нет...
15.08.2018
0
ответов
Узнайте, какие возможности необходимы процессу
Я хочу разрешить запускать команды zfs zpool без root и sudo. Я полагаю, что мне нужно предоставить пользователю некоторые возможности, но как получить список возможностей, необходимых для определенной команды? Операционная система ...
01.09.2016
0
ответов
Почему UID 0 не может выполнить жесткую ссылку на файлы SUID в пространстве имен пользователя ?
Рассмотрим следующую расшифровку оболочки с пространством имен пользователя, работающей с привилегиями root (UID 0 в пространстве имен, непривилегированный снаружи): # cat / proc / $$ / status | grep CapEff
CapEff: ...
16.09.2015
0
ответов
Как узнать, есть ли у файла CAP_NET_ADMIN?
Я выполнил следующую команду: sudo setcap cap_net_raw,cap_net_admin,cap_net_bind_service+eip `which nmap` Теперь я хотел бы добавить в ~/.zshrc строку, которая обнаруживает такие настройки и экспортирует ...
06.06.2015