Hi omnes. Nos strenue operam dabimus et multas validas excussiones mense Ianuario iam paramus. Inter alios, numerus nuntiatus est novus amnis cursus gratissimi omnium. . In antecessum launch, translationes materiae utilis traditae communicamus.
Tabularii permissiones securam optionem SUD executables offerunt, sed primo parum confundentes videri possunt.
Omnes sciunt quod binaries sunt . Fortunate, si applicatione tua aliqua privilegia limitata requirit, efficacior via appellatur .
Servabo te aliquo tempore, si legere voles supra singillatim articulum vitare: Essentialiter, licentias fasciculi concedunt processuum ut radix defluentium, et ideo licet aliquid facere ut aliquas facultates retineat limitatas. cum priuilegia demittunt et currunt ab usuario gratuito. Hoc significat, si impugnator procurat ad processum componendum utens quiddam superfluum vel aliud facinus, nihil aliud posse uti quam quaedam minima privilegia quae actu indiget.
Magnae sunt permissiones pro officiis quae typice semper ut radicem currunt, sed quid de recta praecipiendi utilitate? Feliciter, hoc etiam confirmatur, dummodo ius inauguratum habeas utilitates. Si Ubuntu uteris, exempli causa sarcinam indigebis libcap2-bin. Etiam opus est nucleo non-archaico currere (ex versione 2.6.24).
Munera haec permittunt permissiones cum documentis exsecutabilium coniungendis, similes ad Suid frenum imponendum, sed solum ad determinatum modum permissionum. utilitas setcap solebant addere et ex lima permissiones removere.
Primus gradus est licentias quas debes eligere. Articuli huius causa, suppono instrumentum diagnosticum retis esse quod vocatur tracewalkqui uti possit . Solet hoc applicatione postulare ut tamquam radix ducatur, sed cum inspiciatur evenit ut solum permissio requiritur CAP_NET_RAW.
Ponendo es in indicem ubi binarius sita est tracewalkaddere potes hanc licentiam sic;
sudo setcap cap_net_raw=eip tracewalk
Ignore que nunc =eip de hoc in secundo secundo consulto loquar. Nota quod nomen licentiae in lowercase. Nunc inspicias potes si permissiones recte conformes habebis:
setcap -v cap_new_raw=eip tracewalkVel potes enumerare omnes licentias positas pro exsecutabili dato:
getcap tracewalk
Respectu, etiam omnes permissiones ab exsecutabili cum:
setcap -r tracewalkIn hoc loco, exsequentem ut invilatum utentem currere possis, et cum basibus crudis laborare debet, non autem alia privilegia quae radix usoris habet.
Quid ergo hoc novum suffixum sibi vult? =eip? Id requirit aliquos intellectus permissionum natura. Quisque processus tres habet licentias efficax, hereditarium et permittitur:
- efficax Permissiones sunt illae quae definiunt quid processus actu facere possit. Exempli gratia, si crudis basibus agere non potest
CAP_NET_RAWnon in efficitur posuere. - Praesto permissiones sunt eas quas processus habere conceditur, si id petat utens opportuno vocatione. Prohibent processum quominus aliquid faciat, nisi ad petitionem dicti licentiae specialiter scriptam sit. Inde permittit processus scribendorum, ut licentias criticas addat ad tempus statutum efficax tantum, cum reapse requiruntur.
- hereditarium permissiones illae sunt quae hereditari possunt in accessu statuto processui infantis peperisti. Per surgery
fork()autclone()puer processus exemplar licentiarum parentis semper datur, cum adhuc idem exsecutabile in illo loco currit. Hereditarium set adhibetur, cumexec()(vel aequivalens) appellatur ut tabellam exsecutabilem cum alio reponere. In hoc loco, propositio praesto processui personatur a statuto hereditario ad obtinendum locum accessum, qui ad novum processum adhibebitur.
Ita utilitatem setcap horum trium licentiarum independenter pro dato exsecutabili nobis permittit addere. Nota significationem circulorum paulo aliter interpretari pro permissionum fasciculis;
- praesto permissiones fasciculi eae sunt quae semper in documento exsecutabili praesto sunt, etiamsi processus parentis, qui eas appellabat, eas non haberet. Dici solebant "cogi" permittit.
- hereditarium lima permissiones larva additam definiunt quae etiam ad licentias tollendas a statuto processu vocantis adhiberi possunt. Adhibent processum hereditarium praeter vocationum statutum, ideo permissio hereditaria tantum est, si est in utroque.
- efficax Permissionum fasciculi in actu unum frenum, non praeceptum, et si copia significat, totam copiam praesto etiam in novo actu effectivo processum transscribi. Hoc adhiberi potest ad permissiones processuum addere, quae ad eas petendas non specialiter scriptae sunt. Cum una particula, si pro quavis licentia ponatur, omnibus permissionibus ordienda est. Potes cogitare de eo quod legata aliquantulum, quia usus est ad permittere permissiones utendas applicationibus quae eas non sustinent.
Cum ratione permissionum via setcap tres litterae e, i ΠΈ p ad efficax, hereditas et accessibilis ponit resp. Ita est prior species;
sudo setcap cap_net_raw=eip tracewalk
...innuit senatus CAP_NET_RAW addenda sunt ad occasum praesto et hereditates et frenum efficax apponi debet. Haec quaelibet antea licentias in tabella delegerit. Plures simul licentias pone, indice commate separato utere:
sudo setcap cap_net_admin,cap_net_raw=eip tracewalkHaec omnia fusius tractat, sed spero fore ut haec epistula quid paulo agatur demiserit. Cautae et praestigiae paucae, quae commemorandae sunt, relictae sunt.
Primum, fasciculi facultates cum symlinkibus non laborant - eas ad ipsum fasciculum binarium applicandum (i.e. scopo symlink).
Secundo non operantur scriptoribus interpretationibus. Exempli causa, si Pythonam scriptionem habes, quam licentiam dare vis, ipsum interpretem Pythoni tribuas. Patet haec quaestio securitatis potentialis, quia tunc omnia scripta cum illo interprete exsecuta certam licentiam habebunt, quamvis haec adhuc signanter melior sit quam SUD faciens. Communis- simum opus videtur scribere separatum exsecutabile in C vel aequivalens, qui operationes necessarias conficere potest et ex scripto appellare. Hoc simile est accessioni adhibitae ab Wireshark quae binario utitur /usr/bin/dumpcap praecipuas res praestare:
$ getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
Tertio, licentias fasciculi debiles sunt, si ambitu variabili uteris LD_LIBRARY_PATH ad rationes securitatis obvious(1). Eadem ratio est LD_PRELOAD, quatenus scio.
1. Cum oppugnator manifesto potest reponere unum vexillum librariorum et usum LD_LIBRARY_PATHut bibliothecam suam cogeret, ut in praeposito systemate vocaretur, ideoque suum arbitrarium codicem exsecutioni suae cum eisdem privilegiis ac voca- tionibus adhiberet.
Id omne. Plura de cursu progressio inveniri possunt
Source: www.habr.com