POSIX File Capabilities

最新推荐文章于 2021-05-14 01:34:42 发布
最新推荐文章于 2021-05-14 01:34:42 发布
阅读量1k 收藏
点赞数
分类专栏: Linux 文章标签: Capabilities

POSIX File Capabilities

Sometimes you need a particular program to do a specific task that requires administrative (root) privileges. You can run your program with sudo or chown your program to root and use the setuid bit (that allows to run a program with its owner uid). However, the setuid bit has serious security issues: if you are able to change the flow of execution of the program (and if the program does not drop his root privileges once no longer necessary), you can get a root shell.

More specifically, I needed a program to be able to create raw sockets without requiring full root privileges. It's possible! Using POSIX File Capabilities that relies on capabilities architecture.

First, install required packages ( libcap2 and libcap2-bin on Debian). Second, your kernel must be supporting them as well as your file system (it should be the case per default). Then, you can manage capabilities with setcap and getcap (being root of course).

Usage as explained in setcap(8): 
setcap capability1[,capability2][=-+][value] <filename>

Values are in the format defined by cap_from_text(3):
  • an operand +, - or = (just like in chmod)
  • e for effective (it has it)
  • p for permitted (allowed to have or obtain)
  • i for inherited (when it forks)

For instance, to be able to create raw sockets: 
setcap cap_net_raw=ep <filename>

Or to be able to bind ports < 1024: 
setcap cap_net_bind_service=ep <filename>

Both at the same time: 
setcap cap_net_bind_service,cap_net_raw=ep <filename>

You can then view a file's capabilities with: 
getcap <filename>

And remove capabilities with: 
setcap -r <filename>

If you get a look at the manual capabilities(7), security is divided into several capabilities. You can now replace all setuid/setgid bits of programs with specific capabilities when possible.
We can expect this feature to be used by default in Linux distributions: Fedora applied capabilities since version 12 and archLinux is working towards it.

Updates:

http://blog.stalkr.net/2010/01/posix-file-capabilities.html

CaspianSea
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
POSIX1003标准文档
01-06
POSIX(Portable Operating System Interface,可移植操作系统接口)是一组国际标准,定义了操作系统与应用程序之间的接口,旨在促进不同系统间的软件兼容性。这个标准基于Unix系统,由IEEE(电气和电子工程师协会)...
posix-2017版本
01-15
POSIX.1-2017 defines a standard operating system interface and environment, including a command interpreter (or “shell”), and common utility programs to support applications portability at the ...
POSIX 文件能力:分配根用户的能力
wangkaiblog的专栏
10-24 918
摘自: http://www.ibm.com/developerworks/cn/linux/l-posixcap.html
linux capability 权限控制
xuguokun1986的博客
02-24 2924
http://www.ibm.com/developerworks/library/l-posixcap.html Some programs need to perform privileged operations on behalf of an unprivileged user. For instance, the passwd program writes to the ver
linux提权辅助工具(四):LinEnum.sh
weixin_30662011的博客
01-10 1819
来自:https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh #!/bin/bash #A script to enumerate local information from a Linux host version="version 0.94" #@rebootuser #help func...
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2708
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
Posix.rar_posix
09-20
在IT行业中,尤其是在系统开发和软件工程领域,Posix(Portable Operating System Interface)是一个至关重要的标准,它定义了操作系统必须遵循的一系列接口和规范,以便跨不同平台提供一致的编程环境。本资料...
posix库的mingw编译器
最新发布
04-30
标题提到的“带posix库的MingW编译器”是指MingW被配置为包含POSIX线程库(pthread),这样开发者就可以在Windows平台上使用POSIX标准的线程API,如`pthread_create`、`pthread_join`、`pthread_mutex_init`、`...
posix官方相关文档
12-02
POSIX Base Definitions.pdf POSIX Base Specifications, Issue 7.pdf POSIX Rationale (Informative).pdf POSIX Realtime and Embedded Application Support.pdf(IEEE std 1003.13-2003) POSIX Shell and ...
linux-capabilities
feiyu5323的专栏
07-07 985
导航 (返回顶部) 1. man capabilities 1.1 Capabilities 功能 1.2 全面实施功能需要: (在内核2.6.24之前,仅满足前两个要求;从内核2.6.24开始,所有这三个要求都得到满足) 1.3 给内核开发人员的说明 1.4 Thread capability sets 线程功能集 1.5 File capabilities 文件功能 1.6 ...
Linux显示机制,Linux的capabilities机制
weixin_42662171的博客
05-14 780
在传统的Linux的权限控制机制中,SUID(Set User ID on execution)是一个比较有意思的概念。例如,文件/bin/passwd设置了SUID的flag,所以普通用户在运行passwd命令时,便以passwd的所属者,即root用户的身份运行,从而修改密码。但是,这也带来了安全隐患。我们运行SUID的命令时,通常只是需要使用一小部分特权,但是使用SUID,却可以拥有root...
capability 特征加强Linux系统安全(转)
08-16 226
capability 特征加强Linux系统安全(转)[@more@]  本文仅做参考学习  摘要:传统UNIX系统的访问控制模型非常简单——普通用户对超级用户。在这种模型中,一个进程或者帐户要么只有很小的权限,要么具有全部的...
利用capability特征加强Linux系统安全【转】
weixin_34310785的博客
08-15 323
转自:https://blog.csdn.net/fivedragon/article/details/676849  1.简介   UNIX是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户--root。root帐户用来管理系统、安装软 件、管理帐户、运行某些服务、安装/卸载文件系统、管理用户、安装软件等。另外,普通用户的很多操作也需要root权限,这...
Linux capabilities的新使用
xiaoxiangfu的专栏
01-01 1726
传统的Unix是基于身份的,若进程的有效用户id是0,此进程就可以做一切特权操作。Linux Capabilities已经开发很久了,如今的Linux内核不再判断进程id,而转为判断进程的能力集。能力,简单地说,就是将以前root所拥有的全部特权分割为若干小块(目前Linux内核中的能力数量为34)。 可惜的是,长期以来,这种变化仅限于内核,大量的应用程序并没有使用能力,它们还生活在旧时
关于Linux的capabilities
qq_42679991的博客
07-12 896
RT,上图这个问题怎么解决,就是在去除了passwd的s权限后,利用capabilities恢复他让普通用户改密码的权限。小白求教。
Linux提权备忘录
weixin_41489908的博客
10-21 969
如果不是因为真的喜欢你,我纠缠你干嘛,我又何必那么卑微,那么不堪,甚至不停修改自己的底线,到最后变得一文不值。。。 ---- 网易云热评 一、判断是否为虚拟机 cat /proc/scsi/scsi dmesg |grep -i vir w / who 查询目前登录系统的用户 二、辅助工具 1. LinuxSmartEnumeration(参考了LinEnum.sh) 三个工作模式可选: -l 0 (缺省),显示特别重要的信息 -l 1 显示interesting的信息 -l ..
linux系统利用可执行文件的Capabilities实现权限提升
whatday的专栏
10-25 2735
一、操作目的和应用场景 Capabilities机制是在Linux内核2.2之后引入的,原理很简单,就是将之前与超级用户root(UID=0)关联的特权细分为不同的功能组,Capabilites作为线程(Linux并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。 这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是root,就去检查其是否具有该特权操作所对应的capabilities,并以此为
POSIX线程编程指南
"这篇文档是关于POSIX线程编程的教程,由Blaise Barney创作,来自Lawrence Livermore National Laboratory。教程涵盖了POSIX线程的基本概念、API接口、线程管理、互斥锁、条件变量以及监控调试工具等内容,旨在帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值