Capabilities Beispiele: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=password= ==User-SBit== *Das Programm "password" muss auf die Datei /etc/shaddow zugreifen. *Wenn ein Benutzer dieses Programm auf ruft läuft der Prozess unt…“) |
|||
| Zeile 11: | Zeile 11: | ||
*chmod u-s /bin/pw | *chmod u-s /bin/pw | ||
*setcap cap_dac_override=ep /bin/pw | *setcap cap_dac_override=ep /bin/pw | ||
| + | =ping= | ||
| + | *Ping braucht Privilegien, um die speziellen ICMP-Pakete ins LAN senden zu dürfen. | ||
| + | *Normalerweise verschafft das Set-UID-Root-Bit dem Tool diese Fähigkeiten. | ||
| + | *siehe Oben. | ||
| + | ==Lösung per Capabilities== | ||
| + | *cp /bin/ping /bin/kling | ||
| + | *chmod u-s /bin/kling | ||
Version vom 10. Januar 2023, 13:09 Uhr
password
User-SBit
- Das Programm "password" muss auf die Datei /etc/shaddow zugreifen.
- Wenn ein Benutzer dieses Programm auf ruft läuft der Prozess unter seiner UID
- Diese hat kein Recht die Datei /etc/shaddow zu beschreiben.
- Darum gibt es das User-SBIT Recht, dies hat zur Folge, das der Prozess unter der UID des Besitzers des Programms läuft.
- ls -l /bin/passwd
-rwsr-xr-x 1 root root 63960 Feb 7 2020 /bin/passwd
Lösung per Capabilities
- cp /bin/passwd /bin/pw
- chmod u-s /bin/pw
- setcap cap_dac_override=ep /bin/pw
ping
- Ping braucht Privilegien, um die speziellen ICMP-Pakete ins LAN senden zu dürfen.
- Normalerweise verschafft das Set-UID-Root-Bit dem Tool diese Fähigkeiten.
- siehe Oben.
Lösung per Capabilities
- cp /bin/ping /bin/kling
- chmod u-s /bin/kling