tzv. capability (Was: Sudo - po update prestal akceptovat \,)
Pavel Machek
pavel na ucw.cz
Pondělí Březen 4 21:51:13 CET 2002
Ahoj!
> > Co takhle
> > rwsrwxrwx gimmecaps
>
> Binarka, co ma setuid (predpokladam, ze na roota) a zaroven do ni muze
> kdokoli zapisovat...to ma byt nejaky vtip?!
No, byla to chyba. (Ale stejne se s-bit schazuje otevrenim pro zapis,
takze to neni *takova* bota ;-). Melo to byt rwsr-xr-x root.root gimmecaps.
> > binar, ktery pustis, a on zkontroluje pod jakym uzivatelem jsi, a
> > podle toho spusti tebou specifikovanou vec s rootem specifikovanejma
> > capabilitama? [Jestli je mozny menit capability i nekomu jinymu nez
> > sobe, tak by to slo i hezcejc.]
>
> Problem je v tom, ze podle mych poznatku to nejde skoro nijak, aniz by
> se vrtal v jadre: 1. chci-li je nastavit sam na sobe, pak to musim udelat
> jako root a vsechno ztratim v okamziku, kdy se prepnu na jineho uzivatele
> (pro ucely pristupu k fs neni uplne dobre si ponechat euid 0), 2. chci-li
> je nastavit na nekom jinem, musim mit CAP_SETPCAP, kterezto privilegium je
> ve standardnim jadre docela dobre zazdene.
Jestli je to chyba tak marcelo urcite rad aplikuje patch ;-). [Co
znamena dobre zazdene?]
Pavel
--
(about SSSCA) "I don't say this lightly. However, I really think that the U.S.
no longer is classifiable as a democracy, but rather as a plutocracy." --hpa
Další informace o konferenci Linux