Ариадна Конилл, Audacious музыка ойнатқышы мен Wayback композиттік серверінің жасаушысы, IRCv3 хаттамасының бастамашысы және Alpine қауіпсіздік тобының жетекшісі Linux, развивает инструментарий capsudo для выполнению команд с повышенными привилегиями. В отличие от sudo в новом проекте задействована модель предоставления полномочий на уровне отдельных объектов (object-capability). Код проекта написан на языке Си и распространяется под лицензией MIT.
Жаңа құралдар жинағы шешуге тырысатын sudo кемшіліктерінің қатарына оның suid түбірлік жалаушасы бар орындалатын файл ретінде жеткізілуі; артықшылықтарды бөлусіз монолитті архитектура (барлық sudo функциялары түбірлік артықшылықтармен орындалады); күрделі, иерархиялық емес және декларативті емес конфигурация форматы; артықшылықты процесте тікелей жұмыс істейтін плагиндерді қолдау; және үлкен шабуыл беті бар кеңейтілген код базасы жатады.
Монолитті sudo утилитасын пайдаланудың орнына, capsudo артықшылықты фондық процестің, capsudo және артықшылықсыз утилитаның, capsudo тандемін пайдаланады. capsudo мен capsudo арасындағы байланыс сокет файлы арқылы жүзеге асырылады, ал артықшылықты команданың орындалуы сокеттің қатынау құқықтарымен анықталады. Тек сокетке қатынауы бар пайдаланушылар ғана оған байланған артықшылықты командаларды орындай алады. Бұл тәсілдің кемшілігі - әрбір артықшылықты операцияның орындалуын үйлестіру үшін бөлек фондық процестің қажеттілігі.
Мысалы, пайдаланушыға қайта жүктеу утилитасын жоғары құқықтармен іске қосу мүмкіндігін беру үшін әкімші пайдаланушының басты каталогында "reboot-capability" сокеті жасай алады, оны қайта жүктеу утилитасымен байланыстыра алады және сокетке жазуға рұқсатты қалаған пайдаланушыға шектей алады. Содан кейін пайдаланушы "capsudo -s reboot-capability" командасын орындау арқылы қайта жүктеу командасын орындай алады. # capsudod -s /home/user/reboot-capability reboot & # chown user:user /home/user/reboot-capability # chmod 700 /home/user/reboot-capability келесі командамен қайта жүктеуді іске қосады: $ capsudo -s /home/user/reboot-capability
sudo әрекетін қайталау және кез келген қолданбаның wheel тобындағы пайдаланушылар үшін жоғары рұқсаттармен жұмыс істеуіне мүмкіндік беру үшін келесі параметрлерді пайдалануға болады: # mkdir -p /run/cap # capsudod -s /run/cap/sudo-capability & # chgrp wheel /run/cap/sudo-capability # chmod 770 /run/cap/sudo-capability $ capsudo -s /run/cap/sudo-capability
/usr/sbin/mount /dev/sdb1 командасының артықшылықты іске қосылуын орнату мысалы: # capsudod -s /run/user/mountd/cap/mount-dev-sdb1 — /usr/sbin/mount /dev/sdb1 … /run/user/mountd/cap/mount-dev-sdb1 ұяшығына кіру құқықтарын орнату /dev/sdb1 файлын /media/usb файлына артықшылықсыз пайдаланушы ретінде орнату $ capsudo -s /run/user/mountd/cap/mount-dev-sdb1 — /media/usb
Ақпарат көзі: opennet.ru
