Ariadne Conill, muundaji wa kicheza muziki cha Audacious na seva ya mchanganyiko ya Wayback, mwanzilishi wa itifaki ya IRCv3, na kiongozi wa timu ya usalama ya Alpine Linux, ΡΠ°Π·Π²ΠΈΠ²Π°Π΅Ρ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠ°ΡΠΈΠΉ capsudo Π΄Π»Ρ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ ΠΊΠΎΠΌΠ°Π½Π΄ Ρ ΠΏΠΎΠ²ΡΡΠ΅Π½Π½ΡΠΌΠΈ ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΌΠΈ. Π ΠΎΡΠ»ΠΈΡΠΈΠ΅ ΠΎΡ sudo Π² Π½ΠΎΠ²ΠΎΠΌ ΠΏΡΠΎΠ΅ΠΊΡΠ΅ Π·Π°Π΄Π΅ΠΉΡΡΠ²ΠΎΠ²Π°Π½Π° ΠΌΠΎΠ΄Π΅Π»Ρ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½ΠΈΡ ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡΠΈΠΉ Π½Π° ΡΡΠΎΠ²Π½Π΅ ΠΎΡΠ΄Π΅Π»ΡΠ½ΡΡ ΠΎΠ±ΡΠ΅ΠΊΡΠΎΠ² (object-capability). ΠΠΎΠ΄ ΠΏΡΠΎΠ΅ΠΊΡΠ° Π½Π°ΠΏΠΈΡΠ°Π½ Π½Π° ΡΠ·ΡΠΊΠ΅ Π‘ΠΈ ΠΈ ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½ΡΠ΅ΡΡΡ ΠΏΠΎΠ΄ Π»ΠΈΡΠ΅Π½Π·ΠΈΠ΅ΠΉ MIT.
Miongoni mwa mapungufu ya sudo ambayo zana mpya ya zana inajaribu kushughulikia ni uwasilishaji wake kama faili inayoweza kutekelezwa yenye alama ya mzizi wa suid; usanifu wa monolithic bila utenganisho wa upendeleo (utendaji wote wa sudo unatekelezwa na upendeleo wa mzizi); umbizo changamano, lisilo la kihierarkia, na lisilo la kutangaza; usaidizi wa programu-jalizi zinazoendeshwa moja kwa moja katika mchakato wa upendeleo; na msingi wa msimbo uliovimba wenye uso mkubwa wa mashambulizi.
Badala ya kutumia huduma ya sudo ya monolithic, capsudo hutumia sanjari ya mchakato wa mandharinyuma wenye upendeleo, capsudo, na huduma isiyo na upendeleo, capsudo. Mawasiliano kati ya capsudo na capsudo hutokea kupitia faili ya soketi, na utekelezaji wa amri yenye upendeleo huamuliwa na haki za ufikiaji za soketi. Watumiaji pekee walio na ufikiaji wa soketi ndio wanaweza kutekeleza amri zenye upendeleo zilizounganishwa nayo. Ubaya wa mbinu hii ni hitaji la mchakato tofauti wa mandharinyuma ili kuratibu utekelezaji wa kila operesheni yenye upendeleo.
Kwa mfano, ili kumpa mtumiaji uwezo wa kuendesha huduma ya kuwasha upya kwa haki zilizoinuliwa, msimamizi anaweza kuunda soketi ya "reboot-capability" katika saraka ya nyumbani ya mtumiaji, kuiunganisha kwenye huduma ya kuwasha upya, na kuzuia ufikiaji wa kuandika kwenye soketi kwa mtumiaji anayetaka. Mtumiaji anaweza kisha kuendesha amri ya kuwasha upya kwa kuendesha "capsudo -s reboot-capability." # capsudod -s /home/user/reboot-capability reboot & # chown user:user /home/user/reboot-capability # chmod 700 /home/user/reboot-capability endesha reboot kwa amri: $ capsudo -s /home/user/reboot-capability
Ili kurudia tabia ya sudo na kuruhusu programu yoyote kufanya kazi na marupurupu yaliyoinuliwa kwa watumiaji katika kundi la gurudumu, unaweza kutumia mipangilio ifuatayo: # mkdir -p /run/cap # capsudod -s /run/cap/sudo-capability & # chgrp wheel /run/cap/sudo-capability # chmod 770 /run/cap/sudo-capability $ capsudo -s /run/cap/sudo-capability
Mfano wa mipangilio ya uendeshaji wa amri ya /usr/sbin/mount /dev/sdb1 kwa upendeleo: # capsudod -s /run/user/mountd/cap/mount-dev-sdb1 β /usr/sbin/mount /dev/sdb1 β¦ kuweka haki za ufikiaji kwenye soketi /run/user/mountd/cap/mount-dev-sdb1 ikiwekwa /dev/sdb1 hadi /media/usb kama mtumiaji asiye na upendeleo $ capsudo -s /run/user/mountd/cap/mount-dev-sdb1 β /media/usb
Chanzo: opennet.ru
