linux下capabilities基础操作

Linux Capabilities管理
原创 已于 2023-02-18 00:19:57 修改 · 2.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

于 2022-12-12 16:48:44 首次发布
本文介绍Linux下使用libcap和libcap-ng工具管理capabilities的方法。涵盖了安装、查看和设置capabilities的具体步骤,并对比两种工具的特点。

linux下capabilities基础操作

capabilities的基础操作

书接上回,我们在上篇文章中基本了解了capabilities的概念,明白了它的存在就是为了能够细粒化的管理linux的一些进程权限。那么具体它可以用什么程序来进行控制呢?

Linux 系统中主要提供了两种工具来管理 capabilities:libcaplibcap-nglibcap 提供了 getcapsetcap 两个命令来分别查看和设置文件的 capabilities,同时还提供了 capsh 来查看当前 shell 进程的 capabilities。libcap-ng 更易于使用,使用同一个命令 filecap 来查看和设置 capabilities。

1.libcap

注:本文示例环境为centos7

1.1 查看capabilities信息

#1.安装libcap
yum install -y libcap
#2.查看当前shell进程的capabilities
capsh --print

在这里插入图片描述

关于current和bounding set内容的解释:

  • Current : 表示当前 shell 进程的 Effective capabilities 和 Permitted capabilities。可以
最低0.47元/天 解锁文章
Linux capability详解
SHELLCODE_8BIT的博客
10-12 1876
Linux2.2前root权限简单划分为root和非root,那么root拥有全部权限,非root拥有有限的权限,如果非root用户需要安装软件,要么切换为root用户,要么使用sudo。如果我们以非root用户安装软件,会有如下提示,提示没权限。当我们使用setuid功能后,既让一个程序在运行时,能够获得root权限。如下所示非root用户成功执行apt-get安装软件。但是有没有发现,我们只需要安装功能,却在执行该进程时,拥有了root权限。可以做更多高危操作
linux capability详解与容器中的capability
weixin_42152531的博客
09-29 5378
linux capability详解capability概述查看当前用户的权限进程的权限在进程内部进行用户切换(进程内调用setuid和setgid)测试内核代码文件权限查看某个文件的权限为某个文件赋权进程创建子进程的时候的权限 capability概述 在许多文章中都有讲到这部分,本文不做过多解释。自行百度。 capabilities(7) — Linux manual page——官方权威!!! Linux Capabilities 入门教程:概念篇——米开朗基杨 Linux Capabilities
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2940
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
Linux之setcap用法
最新发布
乾坤我做主的博客
10-14 707
setcap 是一个 Linux 命令,用于设置文件的 POSIX 能力。这些能力允许某些二进制文件在没有 root 权限的情况下执行特定操作,以提高系统安全性。该命令通常用于提供更少的特权访问,而不是将权限完全授予 root 用户。
Linux Capabilities
oneslide
06-05 2734
对于执行权限检查, 传统的UNIX实现区分两类进程:特权进程(其有效用户ID为0,也称为超级用户或root)和非特权进程(其有效用户ID非零)。特权进程绕过内核的所有权限检查,而非特权进程根据进程的凭证(通常为:有效用户ID、有效组ID和补充组列表)进行完整的权限检查。从内核2.2开始,Linux将传统上与超级用户相关联的特权分成独立的单元,称为Capability,可以独立启用和禁用。需要注意的是,功能是线程属性。
介绍-Linux capability机制
ty的专栏
03-05 5823
Linux的capability机制进行详细介绍,并带有例子代码,说明一个普通进程如何获取某项权限。
Linux Capabilities 基础概念与基本使用
qq_68163788的博客
01-07 2400
Linux 是一种安全的操作系统,它把所有的系统权限都赋予了一个单一的 root 用户,只给普通用户保留有限的权限。root 用户拥有超级管理员权限,可以安装软件、允许某些服务、管理用户等。 作为普通用户,如果想执行某些只有管理员才有权限的操作,以前只有两种办法: 一是通过 `sudo` 提升权限,如果用户很多,配置管理和权限控制会很麻烦; 二是通过 [SUID](https://en.wikipedia.org/wiki/Setuid)(Set User ID on execution)来实现,
linux中的capabilities基础概念
好好睡觉
12-11 2426
capabilities概念
linux下的Capabilities安全机制分析
07-02
### Linux下的Capabilities安全机制分析 #### 摘要 随着Linux操作系统在服务器和个人电脑领域的广泛应用,确保系统的安全性变得尤为重要。为了提升系统安全性和开发出更安全的应用软件,深入理解和掌握Linux所提供...
Linux内核之capabilities能力
2401_84415014的博客
04-19 935
2020年在匆匆忙忙慌慌乱乱中就这么度过了,我们迎来了新一年,互联网的发展如此之快,技术日新月异,更新迭代成为了这个时代的代名词,坚持下来的技术体系会越来越健壮,JVM作为如今是跳槽大厂必备的技能,如果你还没掌握,更别提之后更新的新技术了。更多JVM面试整理:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!今是跳槽大厂必备的技能,如果你还没掌握,更别提之后更新的新技术了。[外链图片转存中…(img-YxTWqBDj-1713466138339)]
Linux Capabilities 入门教程(包含自己的理解)
Jack_chao_的博客
02-15 2999
10分钟 理解 Linux Capabilities (内涵自己的见解)后续会加实战篇
Linux内核之capabilities能力,2021年BATJ30套大厂Android经典高频面试题
m0_66264673的博客
01-23 1091
cap_dac_read_search, cap_fowner, cap_fsetid, cap_kill, cap_setgid, cap_setuid, cap_setpcap, cap_linux_immutable, cap_net_bind_service, cap_net_broadcast, cap_net_admin, cap_net_raw, cap_ipc_lock, cap_ipc_owner, cap_sys_module, cap_sys_rawio, cap_sys_chroot
Linux Capabilities利用总结
moresec的博客
01-09 2225
Linux对于权限的管理,系统权限只有root才有,对于普通用户只有一些有限的权限;而对于普通用户如果想进行一些权限以外的操作,之前主要有两种方法:一是通过sudo提权;二是通过SUID[1],让普通用户对设有SUID的文件具有执行权限,当用户执行此文件时,会用文件的拥有者的权限执行,比如常用的命令passwd,修改用户的密码是需要root权限的,但是普通用户却可以使用,这是因为/usr/bin/passwd被设置了SUID,该文件的拥有者是root,所以普通用户可以使用并执行。
Linux 安全 - Capabilities机制
小立仔
09-28 2512
Linux 安全 - Capabilities机制简介
Linux Capabilities 基础概念与基本使用_linuxcapabilities是什么
2401_87298671的博客
09-25 2002
CAP_NET_BIND_SERVICE | 允许绑定到小于 1024 的端口 || CAP_NET_BROADCAST | 允许网络广播和多播访问 || CAP_NET_RAW | 允许使用原始套接字 || CAP_SETGID | 允许改变进程的 GID || CAP_SETFCAP | 允许为文件设置任意的 capabilities || CAP_SETPCAP | 参考 capabilities man page |
Linux Capabilities 入门
weixin_59280309的博客
02-13 1014
当运行设置了 SUID 的命令时,通常只是需要很小一部分的特权,但是 SUID 给了它 root 具有的全部权限。这些可执行文件是黑客的主要目标,如果他们发现了其中的漏洞,就很容易利用它来进行安全攻击。简而言之,SUID机制增大了系统的安全攻击面。为了对 root 权限进行更细粒度的控制,实现按需授权,Linux 引入了另一种机制叫 capabilities
Linux Cap 分类
xdy762024688的博客
08-15 385
CAP_DAC_READ_SEARCH - 忽略文件读/搜寻权限。CAP_SYS_CHROOT - 使用chroot限制根目录。CAP_DAC_OVERRIDE - 忽略DAC权限。CAP_SYS_ADMIN - 执行许多系统管理操作。CAP_SYS_RESOURCE - 修改资源限制。CAP_SYS_PTRACE - 跟踪其他进程。CAP_SYS_NICE - 修改进程优先级。CAP_SYS_BOOT - 重新引导系统。CAP_SYS_TIME - 修改系统时间。CAP_CHOWN - 改变文件所有权。
linux setcap命令详解(包括各个cap的使用举例)
xdy762024688的博客
08-11 3262
1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作
Linux Capabilities 与容器的水乳交融
云原生实验室
10-20 1238
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io前言该系列文章总共分为三篇:????Linux Capabilities 入门教程:概念篇????Linux...
Linux下实现Kubernetes集群特权操作的模拟访问
这可能涉及到了用户切换(如通过`su`或`sudo -u`命令),或者使用了特定的Linux权限控制技术如POSIX能力(capabilities)和AppArmor或SELinux安全模块。 - **权限提升**:当需要执行特权操作时,管理员可以切换到一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值