Возможности Linux - это специальные атрибуты в ядре Linux, которые предоставляют процессам и двоичным исполняемым файлам особые привилегии, которые обычно зарезервированы для процессов, эффективный идентификатор пользователя которых равен 0 (UID пользователя root и только пользователя root имеет 0).
В этой статье будут описаны некоторые из доступных возможностей, их использование, а также способы их установки и удаления. Обратите внимание, что настройка возможностей исполняемых файлов может поставить под угрозу безопасность вашей системы. Таким образом, вы должны рассмотреть возможность тестирования в непроизводственной системе, прежде чем внедрять возможности в производство.
По сути, цель возможностей состоит в том, чтобы разделить полномочия «root» на конкретные привилегии, чтобы при использовании процесса или двоичного файла, обладающего одной или несколькими возможностями, потенциальный ущерб был ограничен по сравнению с тем же процессом, выполняющимся как root.
Возможности могут быть установлены для процессов и исполняемых файлов. Процесс, полученный в результате выполнения файла, может получить возможности этого файла.
Возможности, реализованные в Linux, многочисленны, и многие из них были добавлены с момента их первоначального выпуска. Вот некоторые из них:
CAP_CHOWN: Внести изменения в идентификатор пользователя и идентификатор группы файловCAP_DAC_OVERRIDE: Переопределить ЦАП (дискреционный контроль доступа). Например, vto обойти проверки прав чтения / записи / выполнения.CAP_KILL: Обход проверок разрешений для отправки сигналов процессам. CAP_SYS_NICE: Повысить благородство процессов ( объяснение благородства можно найти здесь )CAP_SYS_TIME: Установка системных и аппаратных часов реального времениДля полного списка, запустите man 7 capabilities.
Возможности назначаются в наборах, а именно: «разрешенный», «наследуемый», «эффективный» и «окружающий» для потоков и «разрешенный», «наследуемый» и «эффективный» для файлов. Эти наборы определяют различные сложные поведения, их полное объяснение выходит за рамки этой статьи.
При настройке возможностей в файле мы почти всегда будем использовать, например, «разрешенный» и «эффективный» CAP_DAC_OVERRIDE+ep. Обратите внимание на то +ep, что обозначает вышеупомянутые множества.
Есть два основных инструмента, getcapи setcapкоторые соответственно могут просматривать и устанавливать эти атрибуты.
libcap2-binпакетом, который можно установить с помощью:apt install libcap2-binlibcapпакет:yum install libcaplibcap:pacman -S libcapЧтобы посмотреть, имеет ли файл какой-либо набор возможностей, вы можете просто запустить getcap /full/path/to/binary, например:
root@demo:~# getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+ep
root@demo:~# getcap /usr/bin/rcp
/usr/bin/rcp = cap_net_bind_service+ep
Если вы хотите узнать, какие возможности уже установлены в вашей системе, вы можете выполнить рекурсивный поиск по всей файловой системе с помощью следующей команды:
getcap -r /
В связи с тем, что виртуальные файловые системы (такие как /proc) не поддерживают эти операции, приведенная выше команда выдаст тысячи ошибок, поэтому для более чистого вывода используйте следующее:
getcap -r / 2>/dev/null
Чтобы установить определенную возможность для файла, используйте setcap "capability_string" /path/to/file.
Чтобы удалить все возможности из файла, используйте setcap -r /path/to/file.
Для демонстрации мы создадим пустой файл в текущем каталоге, дадим ему возможность и удалим его. Начните со следующего:
root@demo:~# touch testfile
root@demo:~# getcap testfile
Вторая команда не выдает никаких результатов, то есть этот файл не имеет никаких возможностей.
Далее установите возможность для файла:
root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep
«CAP_CHOWN + ep» использовался в качестве примера, но любой другой может быть назначен таким образом.
Теперь удалите все возможности из testfile:
root@demo:~# setcap -r testfile
root@demo:~# getcap testfile
Снова, не будет никакого вывода, потому что "CAP_CHOWN + ep" был удален.
Возможности имеют много потенциальных применений и могут помочь повысить безопасность ваших систем. Если вы используете бит SUID в своих исполняемых файлах, подумайте о его замене на конкретные необходимые возможности.
LiteCart является бесплатной платформой для покупок с открытым исходным кодом, написанной на PHP, jQuery и HTML 5. Это простой, легкий и простой в использовании софтвар для электронной коммерции.
Используете другую систему? Anchor CMS - это сверхпростая и чрезвычайно легкая бесплатная система управления контентом (CMS) с открытым исходным кодом.
NFS - это сетевая файловая система, которая позволяет компьютерам получать доступ к файлам через компьютерную сеть. Это руководство объясняет, как вы можете выставлять папки через NF
Используете другую систему? Matomo (ранее Piwik) - это аналитическая платформа с открытым исходным кодом, открытая альтернатива Google Analytics. Источник Matomo размещен o
Предварительные условия Сервер Vultr, работающий до последней версии Arch Linux (см. Эту статью). Работающий веб-сервер с доступом Apache или Nginx Sudo. Команды требуют
TeamTalk - это система конференц-связи, которая позволяет пользователям вести высококачественные аудио / видео-беседы, текстовый чат, передавать файлы и обмениваться экранами. Это я
Используете другую систему? Backdrop CMS 1.8.0 - это простая и гибкая, удобная для мобильных устройств, бесплатная система с открытым исходным кодом (CMS), которая позволяет нам
Vultr предоставляет несколько различных способов доступа к вашему VPS для настройки, установки и использования. Учетные данные для доступа Учетные данные для доступа к вашему VPS по умолчанию
Ranger - это файловый менеджер на основе командной строки с привязками клавиш VI. Он предоставляет минималистичный и приятный интерфейс curses с видом на иерархию каталогов.
Предварительные условия Сервер Vultr, работающий до последней версии Arch Linux (см. Эту статью). Работающий веб-сервер, доступ к Apache или Nginx Sudo Требуются команды t
Если вы хотите разместить свой инвентарь в Интернете или просто магазин технических аксессуаров, Magento - отличное решение для электронной коммерции в Интернете. Это статья
Используете другую систему? Brotli - это новый метод сжатия с лучшей степенью сжатия, чем GZIP. Его исходный код размещен на этом Githu
Введение В MySQL есть замечательная функция, известная как views. Представления хранятся запросы. Думайте о них как о псевдониме для длинного запроса. В этом руководстве
Используете другую систему? AirSonic - это бесплатный и потоковый сервер с открытым исходным кодом. В этом уроке я проведу вас через процесс развертывания
OrangeScrum - это бесплатный инструмент управления проектами с открытым исходным кодом, который широко используется в малом и среднем бизнесе. В этой статье я проведу вас через
Разрешение входа в систему через SSH обычно считается плохой практикой безопасности во всей индустрии технологий. Вместо этого вы можете выполнять чувствительные административные
Используете другую систему? Subrion 4.1 CMS - это мощная и гибкая система управления контентом с открытым исходным кодом (CMS), которая обеспечивает интуитивно понятный и понятный контент.
Vtiger CRM - это популярное приложение для управления взаимоотношениями с клиентами, которое может помочь предприятиям увеличить продажи, обеспечить обслуживание клиентов и увеличить прибыль. я
Используете другую систему? DokuWiki - это вики-программа с открытым исходным кодом, написанная на PHP, для которой не требуется база данных. Хранит данные в текстовых файлах. DokuWik
Введение Цель этого руководства - избавиться от общедоступных соединений SSH и общедоступных RDP. Поместив все это за очень удобный клиент HTML5
Изучение 26 методов анализа больших данных: часть 1
Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.
Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.
Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.
Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.
CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?
По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.
Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!
Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.
Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше
