forum.opennet.ru

Форум Информационная безопасность (Linux привязка / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Понижение привилегий root с помощью file capability (CAP)., Аноним (0), 23-Мрт-22, (0) [смотреть все]

gt оверквотинг удален setcap только устанавливает для не рута Можно общесисте, Павел Отредиез (ok), 21:41 , 23-Мрт-22, (1) //

setcap это замена root suid бита нарезанная на лоскутки Так не отнять капы у ру, Павел Отредиез (ok), 22:05 , 23-Мрт-22, (3) //

Какие Capability-NG от Google , Аноним (5), 05:52 , 24-Мрт-22, (5)
Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесс, Аноним (5), 07:03 , 24-Мрт-22, (7)

Не очень, но давай Собрал аж 12 cap которые не используются, их можно отключить, Аноним (5), 05:49 , 24-Мрт-22, (4)

gt оверквотинг удален Какую задачу ты решаешь Может наоборот для не рута выст, Павел Отредиез (ok), 21:42 , 23-Мрт-22, (2) //

Отнимать права у процесов при запуске от root определенных файлов с помощью xatt, Аноним (5), 06:15 , 24-Мрт-22, (6)
А как выставить нужные CAP для не root, правельно, в плане безопасности 1 Мнени, Аноним (8), 11:13 , 24-Мрт-22, (8) //

В первом случае капы даются только на бинарник Во втором Васе вообще С точки з, Павел Отредиез (ok), 18:35 , 24-Мрт-22, (9) //

Садись, двойка В первом случае права CAP даются на бинарник всем, а с помощью DA, Аноним (10), 11:01 , 25-Мрт-22, (10)

Что никому здесь CAP не нужны Google в Android умеет сбрасывать права root своим, Аноним (11), 18:13 , 30-Мрт-22, (11) //

Всем нужны, но все стесняются поднять этот вопрос У меня от root для ВСЕХ задач , Аноним (12), 15:35 , 19-Апр-22, (12)

https www opennet ru opennews art shtml num 29219http forums grsecurity net , Аноним (13), 08:06 , 28-Фев-23, (13) //

Все равно лучше CAP чем нечего Привилегии root процессов разать надо Кто-то выщ, Аноним (14), 14:06 , 28-Фев-23, (14) //

С 2005 года TCSEC заменены на Общие критерии Из закрытых систем EAL6 соответств, Аноним (-), 14:43 , 30-Мрт-24, (15) //

CC - развод лохов маркетологами Давай тесты сертифицированных по СС OS на предме, Аноним (16), 20:46 , 12-Апр-24, (16)

https www opennet ru openforum vsluhforumID3 129886 html 309и вывод pscap с Hu, Аноним (16), 20:51 , 12-Апр-24, (17)

Сообщения [Сортировка по времени | RSS]

11. "Понижение привилегий root с помощью file capability (CAP)." +/–

Сообщение от Аноним (11), 30-Мрт-22, 18:13

Что никому здесь CAP не нужны?
Google в Android умеет сбрасывать права root своим init: https://chromium.googlesource.com/aosp/platform/system/core/...
"If no capabilities are provided, then all capabilities are removed from this service, even if it runs as root."

До ядра 2.6.25 права резались общесистемно, а в новых версиях заявлена по поточна поддержка прав. В Linux на каждый процесс можно выставить свои права.
Общесистемные, доступные права в /proc/sys/kernel/cap-bound можно было когдато редактировать lcap: https://www.debian.org/doc/manuals/securing-debian-manual/ch...
lcap - A user friendly interface to remove capabilities (kernel-based access control) in the kernel, making the system more secure. For example, executing lcap CAP_SYS_MODULE will remove module loading capabilities (even for the root user).
CapInh для root можно выставить в /etc/security/capabilities.conf как сбросить права root процессов с помощью XATTR security.capability?

Ответить | Правка | Наверх | Cообщить модератору

12. "Понижение привилегий root с помощью file capability (CAP)." +/–

Сообщение от Аноним (12), 19-Апр-22, 15:35

> Что никому здесь CAP не нужны?
Всем нужны, но все стесняются поднять этот вопрос.
У меня от root для ВСЕХ задач запускаются ~50 программ. Все необходимые и достаточные CAP для этих 50 прог собрал. Это всего ~50 строк простейшего кода, который выставит необходимые и достаточные привилегии для этих прог с битом наследования.
В /etc/security/capability.conf прописать:
перечень,необходимых,и,достаточных,прав   root
# а остальным все запретить:
none *
Вот только дырявое ведро линукса согласно
    man 7 capabilities https://man7.org/linux/man-pages/man7/capabilities.7.html
Не хочет обрабатывать права для root тупо в permitted и effective записывая все без фильтра.
Надо бы опцию какюто в .config и параметрах загрузки ядра иметь, чтобы для root CAP обрабатывались, как для обычного пользователя!
Есть еще вариантант СТРАШНЫЙ КОСТЫЛЬ:
https://man7.org/linux/man-pages/man7/capabilities.7.html
Set-user-ID-root programs that have file capabilities
       There is one exception to the behavior described under
       Capabilities and execution of programs by root.  If (a) the
       binary that is being executed has capabilities attached and (b)
       the real user ID of the process is not 0 (root) and (c) the
       effective user ID of the process is 0 (root), then the file
       capability bits are honored (i.e., they are not notionally
       considered to be all ones).  The usual way in which this
       situation can arise is when executing a set-UID-root program that
       also has file capabilities.  When such a program is executed, the
       process gains just the capabilities granted by the program (i.e.,
       not all capabilities, as would occur when executing a set-user-
       ID-root program that does not have any associated file
       capabilities).
       Note that one can assign empty capability sets to a program file,
       and thus it is possible to create a set-user-ID-root program that
       changes the effective and saved set-user-ID of the process that
       executes the program to 0, but confers no capabilities to that
       process.
Надо кроме inhirit CAP ставить еще s-bit, и запускать процесс под обычным пользователем с прописанными возможными правами в:  /etc/security/capability.conf
Кто что скажет по этому варианту?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

11. "Понижение привилегий root с помощью file capability (CAP)."	+/–
Сообщение от Аноним (11), 30-Мрт-22, 18:13
Что никому здесь CAP не нужны? Google в Android умеет сбрасывать права root своим init: https://chromium.googlesource.com/aosp/platform/system/core/... "If no capabilities are provided, then all capabilities are removed from this service, even if it runs as root." До ядра 2.6.25 права резались общесистемно, а в новых версиях заявлена по поточна поддержка прав. В Linux на каждый процесс можно выставить свои права. Общесистемные, доступные права в /proc/sys/kernel/cap-bound можно было когдато редактировать lcap: https://www.debian.org/doc/manuals/securing-debian-manual/ch... lcap - A user friendly interface to remove capabilities (kernel-based access control) in the kernel, making the system more secure. For example, executing lcap CAP_SYS_MODULE will remove module loading capabilities (even for the root user). CapInh для root можно выставить в /etc/security/capabilities.conf как сбросить права root процессов с помощью XATTR security.capability?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (12), 19-Апр-22, 15:35
	> Что никому здесь CAP не нужны? Всем нужны, но все стесняются поднять этот вопрос. У меня от root для ВСЕХ задач запускаются ~50 программ. Все необходимые и достаточные CAP для этих 50 прог собрал. Это всего ~50 строк простейшего кода, который выставит необходимые и достаточные привилегии для этих прог с битом наследования. В /etc/security/capability.conf прописать: перечень,необходимых,и,достаточных,прав root # а остальным все запретить: none * Вот только дырявое ведро линукса согласно man 7 capabilities https://man7.org/linux/man-pages/man7/capabilities.7.html Не хочет обрабатывать права для root тупо в permitted и effective записывая все без фильтра. Надо бы опцию какюто в .config и параметрах загрузки ядра иметь, чтобы для root CAP обрабатывались, как для обычного пользователя! Есть еще вариантант СТРАШНЫЙ КОСТЫЛЬ: https://man7.org/linux/man-pages/man7/capabilities.7.html Set-user-ID-root programs that have file capabilities There is one exception to the behavior described under Capabilities and execution of programs by root. If (a) the binary that is being executed has capabilities attached and (b) the real user ID of the process is not 0 (root) and (c) the effective user ID of the process is 0 (root), then the file capability bits are honored (i.e., they are not notionally considered to be all ones). The usual way in which this situation can arise is when executing a set-UID-root program that also has file capabilities. When such a program is executed, the process gains just the capabilities granted by the program (i.e., not all capabilities, as would occur when executing a set-user- ID-root program that does not have any associated file capabilities). Note that one can assign empty capability sets to a program file, and thus it is possible to create a set-user-ID-root program that changes the effective and saved set-user-ID of the process that executes the program to 0, but confers no capabilities to that process. Надо кроме inhirit CAP ставить еще s-bit, и запускать процесс под обычным пользователем с прописанными возможными правами в: /etc/security/capability.conf Кто что скажет по этому варианту?
	Ответить \| Правка \| Наверх \| Cообщить модератору