https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Capabilities_Beispiel_passwd 2026-06-29T19:39:38Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Capabilities_Beispiel_passwd&diff=53333&oldid=prev 2024-05-12T13:05:13Z

<p>Die Seite wurde neu angelegt: „=password= ==User-SBit== *Das Programm &quot;password&quot; muss auf die Datei /etc/shaddow zugreifen. *Wenn ein Benutzer dieses Programm auf ruft läuft der Prozess unt…“</p> <p><b>Neue Seite</b></p><div>=password=<br /> ==User-SBit==<br /> *Das Programm &quot;password&quot; muss auf die Datei /etc/shaddow zugreifen.<br /> *Wenn ein Benutzer dieses Programm auf ruft läuft der Prozess unter seiner UID<br /> *Diese hat kein Recht die Datei /etc/shaddow zu beschreiben.<br /> *Darum gibt es das User-SBIT Recht, dies hat zur Folge, das der Prozess unter der UID des Besitzers des Programms läuft.<br /> *ls -l /bin/passwd<br /> -rwsr-xr-x 1 root root 63960 Feb 7 2020 /bin/passwd<br /> ==Lösung per Capabilities== <br /> *cp /bin/passwd /bin/pw<br /> *chmod u-s /bin/pw<br /> *setcap cap_dac_override=ep /bin/pw<br /> =ping=<br /> *Ping braucht Privilegien, um die speziellen ICMP-Pakete ins LAN senden zu dürfen. <br /> *Normalerweise verschafft das Set-UID-Root-Bit dem Tool diese Fähigkeiten. <br /> *siehe Oben.<br /> *Debian hat ping so kompiliert das es die nicht braucht.<br /> *Wir nutzen deshalb ein selbst kompiliertes ping</div>

Thomas.will