Capabilities Beispiele: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→ping) |
|||
| Zeile 15: | Zeile 15: | ||
*Normalerweise verschafft das Set-UID-Root-Bit dem Tool diese Fähigkeiten. | *Normalerweise verschafft das Set-UID-Root-Bit dem Tool diese Fähigkeiten. | ||
*siehe Oben. | *siehe Oben. | ||
| + | *Debian hat ping so kompiliert das es die nicht braucht. | ||
| + | *Wir nutzen deshalb ein selbst kompiliertes ping | ||
| + | =Download= | ||
| + | *cd /usr/local/bin | ||
| + | *wget https://xinux.de/downloads/ping-orig | ||
| + | *chmod +x ping-orig | ||
| + | |||
==Lösung per Capabilities== | ==Lösung per Capabilities== | ||
*cp /bin/ping /bin/kling | *cp /bin/ping /bin/kling | ||
*chmod u-s /bin/kling | *chmod u-s /bin/kling | ||
Version vom 15. Januar 2023, 08:18 Uhr
password
User-SBit
- Das Programm "password" muss auf die Datei /etc/shaddow zugreifen.
- Wenn ein Benutzer dieses Programm auf ruft läuft der Prozess unter seiner UID
- Diese hat kein Recht die Datei /etc/shaddow zu beschreiben.
- Darum gibt es das User-SBIT Recht, dies hat zur Folge, das der Prozess unter der UID des Besitzers des Programms läuft.
- ls -l /bin/passwd
-rwsr-xr-x 1 root root 63960 Feb 7 2020 /bin/passwd
Lösung per Capabilities
- cp /bin/passwd /bin/pw
- chmod u-s /bin/pw
- setcap cap_dac_override=ep /bin/pw
ping
- Ping braucht Privilegien, um die speziellen ICMP-Pakete ins LAN senden zu dürfen.
- Normalerweise verschafft das Set-UID-Root-Bit dem Tool diese Fähigkeiten.
- siehe Oben.
- Debian hat ping so kompiliert das es die nicht braucht.
- Wir nutzen deshalb ein selbst kompiliertes ping
Download
- cd /usr/local/bin
- wget https://xinux.de/downloads/ping-orig
- chmod +x ping-orig
Lösung per Capabilities
- cp /bin/ping /bin/kling
- chmod u-s /bin/kling