У меня есть контейнер докеров, который отлично работает в модуле kubernetes при наличии привилегий: в спецификации установлено значение true. Но когда я запускаю тот же контейнер докеров, предоставляя все возможности Linux, ...
Я работал над написанием собственного контейнера Linux из нуля в C. Я позаимствовал код из нескольких мест и создал базовую версию с пространствами имен и контрольными группами. По сути, я клонирую новый ...
Я начинаю веб-сервер как нераню, используя файл системного блока. Я получаю слушаю TCP: 80: Bind: разрешение запрещено, даже если я уже запустил setcap cap_net_bind_service = + ep на исполняемости. ...
Я не понимаю, как возможности файлов работают с пространствами имен пользователей. Насколько я понимаю, если у файла есть возможность, то любой поток / процесс, выполняющий файл, может получить эту возможность. ...
Я знаю что, если процесс выполняется setuid, что он защищен от различных вещей, которые могли ниспровергать процесс, как LD_PRELOAD и ptrace (отладка). Но я не смог найти что-либо на...
У меня есть этот код C, который выполняет команду smartctl и берет ее вывод: #include <iostream> #include <cstdio> #include <cstdlib> использование станд. пространства имен; международное основное () {суд <<"...
Как пользователь без полномочий root я запускаю процесс . Двоичному файлу процесса предоставлена возможность cap_sys_resource. Несмотря на то, что процесс принадлежит тому же пользователю, этот пользователь не может прочитать его / proc // fd ...
Когда я запускаю команду в контейнере docker, я вижу: # ip netns exec 9ee961d90990 ifconfig
установка сетевого пространства имен "9ee961d90990" не удалась: Операция не разрешена Я могу запустить свой контейнер ...
Мне нужно добавить правило iptables изнутри программы C Linux. Как мне поступить? Нужны ли мне привилегии root или я могу просто предоставить некоторые возможности? Я попытался предоставить CAP_NET_RAW + iep и использовать popen (...
У нас есть старое ядро Linux с нуля, используемое в одной из наших систем, которое использует старый механизм cap-bound (изменение / proc / sys / kernel / cap-bound), чтобы ограничить возможности системы. Это было ...
Я пытаюсь очистить кеш файловой системы из контейнера докеров, например: docker run --rm ubuntu: vivid sh -c "/ bin / echo 3> / proc / sys / vm / drop_caches" Если я запускаю эту команду, я получаю sh: 1: ...
Если я хочу установить возможность (возможности (7)), такие как CAP_NET_BIND_SERVICE, на исполняемом файле, и тот файл является сценарием, сделайте я должен установить возможность (setcap (8)) на запуске интерпретатора...
Очевидно, что он не может rwx-файлы, на которые у него нет разрешения. Но я говорю о других «действиях», я знаю, что это привязка к портам с номером меньше 1024. Что еще?
Я добавил возможность, используя следующую команду на терминале (вместо установки CAP _SETUID в папке -в файле ). Проверено, что setuid/seteuid работает. setcap cap _sys _admin,cap _setuid+ep /usr/bin/
У меня есть файл (давайте назовем его prog )с возможностью _setfcap. Можно ли с его помощью предоставить проге (самому файлу )полные возможности? Я знаю, что это не рекомендуется, я просто хочу знать, может ли это быть...
Обходит ли пользователь root проверку возможностей в ядре или он подвергается проверке возможностей, начиная с Linux 2.2? Могут ли приложения проверять и запрещать доступ для пользователя root,...
«Эффективный идентификатор пользователя/группы» процесса — это то, что ОС использует для определения того, разрешено ли процессу какое-либо действие (например, открытие файла). Вы можете установить эффективный первичный GID текущего ...
У htop есть несколько новых показателей: PERCENT_CPU_DELAY (CPUD%) Процент времени, затраченного на ожидание процессора (во время работы). Требуется CAP_NET_ADMIN. PERCENT_IO_DELAY (IOD%)...
Я пытаюсь использовать возможности (cap_sys_time), но когда я запускаю это Команда: setcap cap_sys_time + ep / user / mybysyprogram в моей системе, я получаю следующую ошибку: не удалось установить возможности ...
я читал в другом ответе, что на Android двоичные файлы su стараются не должными быть быть setuid при помощи возможностей файловой системы как cap_setuid. Но затем я пытался проверить это, и к моему удивлению, я нашел нет...
Я хочу разрешить запускать команды zfs zpool без root и sudo. Я полагаю, что мне нужно предоставить пользователю некоторые возможности, но как получить список возможностей, необходимых для определенной команды? Операционная система ...
Я выполнил следующую команду: sudo setcap cap_net_raw,cap_net_admin,cap_net_bind_service+eip `which nmap` Теперь я хотел бы добавить в ~/.zshrc строку, которая обнаруживает такие настройки и экспортирует ...