forum.opennet.ru

Форум Информационная безопасность (Linux привязка / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Понижение привилегий root с помощью file capability (CAP)., Аноним (0), 23-Мрт-22, (0) [смотреть все]

gt оверквотинг удален setcap только устанавливает для не рута Можно общесисте, Павел Отредиез (ok), 21:41 , 23-Мрт-22, (1) //

setcap это замена root suid бита нарезанная на лоскутки Так не отнять капы у ру, Павел Отредиез (ok), 22:05 , 23-Мрт-22, (3) //

Какие Capability-NG от Google , Аноним (5), 05:52 , 24-Мрт-22, (5)
Давно уже с помощью MAC можно отнимать, пофайлово, привилегии CAP у root процесс, Аноним (5), 07:03 , 24-Мрт-22, (7)

Не очень, но давай Собрал аж 12 cap которые не используются, их можно отключить, Аноним (5), 05:49 , 24-Мрт-22, (4)

gt оверквотинг удален Какую задачу ты решаешь Может наоборот для не рута выст, Павел Отредиез (ok), 21:42 , 23-Мрт-22, (2) //

Отнимать права у процесов при запуске от root определенных файлов с помощью xatt, Аноним (5), 06:15 , 24-Мрт-22, (6)
А как выставить нужные CAP для не root, правельно, в плане безопасности 1 Мнени, Аноним (8), 11:13 , 24-Мрт-22, (8) //

В первом случае капы даются только на бинарник Во втором Васе вообще С точки з, Павел Отредиез (ok), 18:35 , 24-Мрт-22, (9) //

Садись, двойка В первом случае права CAP даются на бинарник всем, а с помощью DA, Аноним (10), 11:01 , 25-Мрт-22, (10)

Что никому здесь CAP не нужны Google в Android умеет сбрасывать права root своим, Аноним (11), 18:13 , 30-Мрт-22, (11) //

Всем нужны, но все стесняются поднять этот вопрос У меня от root для ВСЕХ задач , Аноним (12), 15:35 , 19-Апр-22, (12)

https www opennet ru opennews art shtml num 29219http forums grsecurity net , Аноним (13), 08:06 , 28-Фев-23, (13) //

Все равно лучше CAP чем нечего Привилегии root процессов разать надо Кто-то выщ, Аноним (14), 14:06 , 28-Фев-23, (14) //

С 2005 года TCSEC заменены на Общие критерии Из закрытых систем EAL6 соответств, Аноним (-), 14:43 , 30-Мрт-24, (15) //

CC - развод лохов маркетологами Давай тесты сертифицированных по СС OS на предме, Аноним (16), 20:46 , 12-Апр-24, (16)

https www opennet ru openforum vsluhforumID3 129886 html 309и вывод pscap с Hu, Аноним (16), 20:51 , 12-Апр-24, (17)

Сообщения [Сортировка по времени | RSS]

8. "Понижение привилегий root с помощью file capability (CAP)." +/–

Сообщение от Аноним (8), 24-Мрт-22, 11:13

> для не рута выставить нужные cap?
А как выставить нужные CAP для не root, правельно, в плане безопасности?
1. Мнение разрабов дистрибутива:
groupadd wireshark
usermod -a -G wireshark vasya
chown root:wireshark /usr/bin/dumpcap
chmod a-rwxst,u+rwx,g+x /usr/bin/dumpcap
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap
2 Мое мнение:
chmod go-rwst /usr/bin/dumpcap
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap
В файле /etc/security/capability.conf добавляем строку:
cap_dac_read_search,cap_net_admin,cap_net_raw vasya
В файле /etc/pam.d/auth/system-auth добавляем строку:
auth required pam_cap.so

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

9. "Понижение привилегий root с помощью file capability (CAP)." +/–

Сообщение от Павел Отредиез (ok), 24-Мрт-22, 18:35

>> для не рута выставить нужные cap?
> А как выставить нужные CAP для не root, правельно, в плане безопасности?
В первом случае капы даются только на бинарник. Во втором Васе вообще. С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав.

Ответить | Правка | Наверх | Cообщить модератору

10. "Понижение привилегий root с помощью file capability (CAP)." +/–

Сообщение от Аноним (10), 25-Мрт-22, 11:01

> В первом случае капы даются только на бинарник. Во втором Васе вообще.
> С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав.
Садись, двойка.
В первом случае права CAP даются на бинарник всем, а с помощью DAC право запускать бинарь разрешают только группе wiresharck. Таким образом права CAP фактически получат только члены этой группы и только на процесс dumpcap.
Во втором случае в /etc/security/capability.conf, пользователю дается только возможность наследовать определенные права CAP, а сами права он получает только при исполнении файла для которого установлены эти права с битом наследования. Таким образом права CAP фактически получит только определенные в /etc/security/capability.conf пользователи и только на процесс dumpcap.
Заметь разницу:
Вариант 1
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap
Вариант 2
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap
PS: как права root порезать знаешь? Ссылки на патчи есть?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	8. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (8), 24-Мрт-22, 11:13
	> для не рута выставить нужные cap? А как выставить нужные CAP для не root, правельно, в плане безопасности? 1. Мнение разрабов дистрибутива: groupadd wireshark usermod -a -G wireshark vasya chown root:wireshark /usr/bin/dumpcap chmod a-rwxst,u+rwx,g+x /usr/bin/dumpcap setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap 2 Мое мнение: chmod go-rwst /usr/bin/dumpcap setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap В файле /etc/security/capability.conf добавляем строку: cap_dac_read_search,cap_net_admin,cap_net_raw vasya В файле /etc/pam.d/auth/system-auth добавляем строку: auth required pam_cap.so
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	9. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Павел Отредиез (ok), 24-Мрт-22, 18:35
	>> для не рута выставить нужные cap? > А как выставить нужные CAP для не root, правельно, в плане безопасности? В первом случае капы даются только на бинарник. Во втором Васе вообще. С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Понижение привилегий root с помощью file capability (CAP)."	+/–
	Сообщение от Аноним (10), 25-Мрт-22, 11:01
	> В первом случае капы даются только на бинарник. Во втором Васе вообще. > С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав. Садись, двойка. В первом случае права CAP даются на бинарник всем, а с помощью DAC право запускать бинарь разрешают только группе wiresharck. Таким образом права CAP фактически получат только члены этой группы и только на процесс dumpcap. Во втором случае в /etc/security/capability.conf, пользователю дается только возможность наследовать определенные права CAP, а сами права он получает только при исполнении файла для которого установлены эти права с битом наследования. Таким образом права CAP фактически получит только определенные в /etc/security/capability.conf пользователи и только на процесс dumpcap. Заметь разницу: Вариант 1 setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap Вариант 2 setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap PS: как права root порезать знаешь? Ссылки на патчи есть?
	Ответить \| Правка \| Наверх \| Cообщить модератору