capacilitys 持续集成

最新推荐文章于 2023-10-12 11:43:03 发布
最新推荐文章于 2023-10-12 11:43:03 发布
阅读量114 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/honpey/p/8504390.html
版权

目前看好像是说以docker为例来看看这个权限到底是怎么来的?

可以通过在二进制上setcap得到,也可以通过函数自己用setcap得到,两种方法,docker肯定是第二种方法啊,docker中间肯定也是有一个中间进程去执行调用了setcap去set自己得到的,这个时候这些set的标志就不在要执行的二进制上了。

不就是一种查看方式么,都是可以设置的;

setgid设置了可执行文件的一些权限,那么现在这个可执行权限就放在了可执行文件的xattr里了,到了要执行的时候直接就拿过来执行。只需要这样设置就可以了,当然了如果你是root,那么有了capability之后,所有用户执行这个二进制文件就都可以啦?

这个好像不是很合理呢?比如ping操作如果我只想小红用,小名不能用呢?这里又来了一套大名顶顶的acl了了。

//20180304

 

 

//

 

问题1:如何赋予一个进程某种cap

 

1) cap_chown=eip是将chown的能力以cap_effective(e),cap_inheritable(i),cap_permitted(p)三种位图的方式授权给相关的程序文件.

 

sudo setcap cap_chown=eip e i p c

 

问题2:允许更改任意文件的所有权

 

sudo setcap cap_chown `which chown`

 

测试一下子把我的权限给用了

 

网上有人说是否做了上面的设置后,这些信息是填充在了哪里?

 

http://www.newsmth.net/nForum/#!article/LinuxDev/59422?au=zylthinking

 

咋确认这个问题呢?用到了两个技巧:

 

1)怎么查看setcap属于哪个包?

 

2)使用stap跟踪

 

全TM是放在了文件系统的xatrr哈!

 

cap用到了文件系统的啥功能?

 

sudo 是干嘛的?

root和capacility有什么区别?是不是有了root就有了所有?root的进程是

 并不是说root执行的进程他就会有所有的capacility,还需要

http://www.iteye.com/topic/807807

// 20180304 12:33

其中docker 支持的权限包括下面:

 

CAP_NET_RAW 131
CAP_NET_BIND_SERVICE 101
CAP_AUDIT_READ 371
CAP_AUDIT_WRITE 291
CAP_DAC_OVERRIDE 11
CAP_SETFCAP 311
CAP_SETPCAP 81
CAP_SETGID 61
CAP_SETUID 71
CAP_MKNOD 271
CAP_CHOWN 01
CAP_FOWNER 31
CAP_FSETID 41
CAP_KILL 51
CAP_SYS_CHROOT 18 

 

linux内核支持的所有的权限:

(不看不知道,linux内核中的权限管理还真是复杂,信息量颇多,后面就开始慢慢积累吧,看下capacilitys)

CAP_CHOWN:修改文件属主的权限

CAP_DAC_OVERRIDE:忽略文件的DAC访问限制

CAP_DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制

CAP_FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制

CAP_FSETID:允许设置文件的setuid位

CAP_KILL:允许对不属于自己的进程发送信号

CAP_SETGID:允许改变进程的组ID

CAP_SETUID:允许改变进程的用户ID

CAP_SETPCAP:允许向其他进程转移能力以及删除其他进程的能力

CAP_LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志

CAP_NET_BIND_SERVICE:允许绑定到小于1024的端口

CAP_NET_BROADCAST:允许网络广播和多播访问

CAP_NET_ADMIN:允许执行网络管理任务

CAP_NET_RAW:允许使用原始套接字

CAP_IPC_LOCK:允许锁定共享内存片段

CAP_IPC_OWNER:忽略IPC所有权检查

CAP_SYS_MODULE:允许插入和删除内核模块

CAP_SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备

CAP_SYS_CHROOT:允许使用chroot()系统调用

CAP_SYS_PTRACE:允许跟踪任何进程

CAP_SYS_PACCT:允许执行进程的BSD式审计

CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

CAP_SYS_BOOT:允许重新启动系统

CAP_SYS_NICE:允许提升优先级及设置其他进程的优先级

CAP_SYS_RESOURCE:忽略资源限制

CAP_SYS_TIME:允许改变系统时钟

CAP_SYS_TTY_CONFIG:允许配置TTY设备

CAP_MKNOD:允许使用mknod()系统调用

CAP_LEASE:允许修改文件锁的FL_LEASE标志

转载于:https://www.cnblogs.com/honpey/p/8504390.html

weixin_30527551
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
无root抓包
m0_62187974的博客
08-10 4131
光速虚拟机与相关文件下载:AsenDrive-免费不限速云盘 可导出证书小黄鸟:可导出证书小黄鸟.apk - 蓝奏云 手机安装小黄鸟->打开后点击左上角->点击设置 点击SSL证书设置 点击导出HttpCanary根证书->选择Privacy Enhanced Ma.pem)保存到本地 打开设置->选择安全或者密码与安全->点击系统安全或者更多安全
linux抓包命令不用root用户,linux中非root用户使用wireshark进行抓包
weixin_39605905的博客
05-03 462
开始的时候我是在终端中使用sudo 命令打开 wireshark 的,因为如果不这样的话 wireshark 就没法抓包啊。偶尔抓一次包就使用这样的方式提权。今天使用 wireshark 的时候特意留意了一下 wireshark 的提示信息,大致就是告诉我,使用 root 权限,危险!!那一定有解决办法喽,当然。提示信息里给出了这个网址:https://wiki.wireshark.org/Cap...
谁说抓包必须用root权限
10-29 2654
一 背景曾经在相当长的一段时间内认为抓包就必须是root用户,直到后面了解到了setsid和capability,这篇文章算是个总结。二 特殊权限位2.1 SET位权限在linux中,有...
无root手机抓包
m0_59201161的博客
12-02 3449
首先简单说一下可root手机抓包的证书问题: 高版本的安卓(应该是从7.0开始)提高了安全策略,第三方证书必须放在系统区内才会生效。然而默认安装的第三方证书只是在用户区,因此很多新手抓包的时候都会碰到一抓https的包便提示无网络。 通用方法:root后用root explorer或者mt之类的文件管理器,把/data/misc/user/0/cacert-add下面的xxxx.0文件(前提是第三方的crt格式的证书已经安装了,安装形式为默认),移动或复制到/system/etc/security/cace
手机无root 抓包
m0_66043650的博客
03-02 3825
手机无root 抓包
Android7以上抓取https数据包-无需root
liguangyao213的博客
02-18 2087
APP渗透测试之代理篇-Array-渗透测试视频教程-信息安全-CSDN程序员研修院了解如何抓取APP数据包 了解APP数据包修改方法-Arrayhttps://edu.csdn.net/course/detail/26468 一、声明 大家都知道android7.0以上, 有android的机制不在信任用户证书,导致https协议无法抓包。除非把证书装在系统信任的证书里,此时手机需要root权限。 大家都知道root手机是非常繁琐的,对于大多数来说是不切实际的,那android7.0以上有没有不需要
Android设备上非root的抓包实现方法(Tcpdump方法)
09-01
通常我们在Android应用中执行某个命令时会使用“Runtime.getRuntime().exec("命令路径")”这种方式,但是当我们执行抓包操作时,使用这条命令无论如何都不行,通过下面代码打印结果发现,该命令一定要在root权限下才能执行,具体实现思路,请参考本教程
手机没有root如何抓包,VMOS Pro+小黄鸟HttpCanary(附工具软件)
热门推荐
qq_32126931的博客
02-27 4万+
现在手机root越来越难了,并且root了安全性也没了保证,并且一不小心导致操作不当,手机还有可能变砖。 很多小伙伴抓包时都遇到一个问题,那就是一抓包就断网,原因恰恰如此,因为手机没有root。 所以今天带来解决方案,使用手机虚拟机VMos Pro+小黄鸟抓包,完美解决。 1、真机安装小黄鸟HttpCanay和安卓虚拟机Vmos Pro; 这两个软件大家可以自行百度一下,当然我这里也测试了可用版本,如下;如果失效了可在评论区留言。 https://wwa.lanzoum.com/b00pf6ju
常规应用系统无法抓包解决办法整理
qq_34375074的博客
08-19 4403
前言 在安卓手机安装上应用后,使用抓包工具如burpsuite无法抓包(手机用户凭证已安装burp的证书),此时考虑存在抓不到包的原因可以分为以下四种情况: 应用只信任系统证书,不信任我们安装在用户凭证的证书。 应用做了单向校验,一般情况下是客户端校验服务端证书是否是正确来源的,也有服务端校验客户端证书的。 应用做了双向校验,也就是服务端和客户端互相校验证书来源的正确性。 应用不走http系统代理。 参考链接 【1】HTTPS单向认证、双向认证、抓包原理、反抓包策略 【2】HTTPS实战之单向
138_未root的Android手机抓包方法(非tcpdump)
sanbanzui2008的博客
07-19 3869
Android使用tcpdump抓包图样图森破。 但是有个限制,就是抓包的机器必须获取了root权限。 所以,遇到未root的手机,tcpdump就无能为力了。 那如何抓未root的手机的包呢? 方法就是:手机连路由,抓路由的包,过滤出手机的包(好吧,曲线救国也挺好的不是么)--! win7笔记本是个不错的东东,因为win7可以“自制”路由。           共享资源是我...
小米手机刷机,root,隐藏root,抓包教程,一套集齐
最新发布
JJboy233的博客
10-12 1019
打算整理一期最近对于手机的折腾记录方便后期自己使用,教程主要是总结很多都是引用机圈大佬的文章,我自己主要是用于查bug时抓包以及开了下游戏科技哈哈哈。
tcpdump抓包
mayue_web的博客
10-31 2万+
1、简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
《微服务设计》--读书笔记
qq_22271677的博客
07-06 747
微服务设计
nginx的下载安装、启动 / tcpdump 的权限问题 (mac)
sophie1314的博客
01-19 3065
1. 到官网下载nginx,或者直接命令行 brew search brew install nginx 2. 启动nginx brew services start nginx 启动时会遇到的问题: (1.) 报错提示:“Bootstrap failed: 5: Input/output error....” 经过一系列查询,是因为用户权限问题,执行“ps aux | grep nginx”,可以看到 work process 那里对应的是nobody 网络上一大堆都在推荐要把这里(路径
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2678
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
linux Capabilities简介--#setcap cap_net_raw,cap_net_admin=eip /a.out
Eighty_Nine的博客
12-01 2万+
转自:https://zhidao.baidu.com/question/459061673954720405.htmlLinux是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户--root。root帐户用来管理系统、安装软件、管理帐户、运行某些服务、安装/卸载文件系统、管理用户、安装软件等。另外,普通用户的很多操作也需要root权限,这通过setuid实现。这种
android指定app抓包 无需root
weixin_44191845的博客
01-22 5090
实现原理 windows开启代理服务器. 手机使用全局代理(所有协议都能抓取)app对指定目标app进行代理, 连接到同网段下的windows主机. windows使用抓包软件通过IP过滤或软件过滤实现抓包改包等功能. 测试环境 权限: 非root 型号: realme RMX3161 版本: Android11 安装软件 1. windows端 代理服务器: ccproxy 若要配合wpe改包, 则需要下载旧版本的ccproxy(下面wpe下载链接里有),否则wpe无法找到ccproxy htt
使用BurpSuite进行手机抓包(不进行root)
gg的博客
11-30 4122
本文将介绍怎么在PC端使用Burpsuite进行安卓手机端的抓包 本文中使用的手机为本人的小米8,PC端的操作系统为win10 首先进行手机电脑的配置 PC端 首先打开win10自带的移动热点功能 将手机连入PC打开的热点 然后查看打开热点的IP地址 再后对Burpsuite的代理进行如下配置 导出burpsuite的证书 后缀名必须为.cer 否则手机端无法安装该证书,手机端...
ubuntu 在非root用户下抓包设置
gujing001的专栏
11-01 1666
sudo dpkg-reconfigure wireshark-common “Should non-superusers be able to capturepackages?”  选择Yes(默认是no) 在组策略中会出现wireshark组,默认没有任何用户属于这个组,只需把特定的用户加入组中 (需要注销后重新登录来使设置生效) 就可以以该用户来运行wiresha
当 tcpdump -w 遇到 Permission denied
weixin_34088838的博客
07-27 1183
为了定位问题,需要在Linux上使用tcpdump并且保存到文件,遇到了如下问题: tcpdump port 9001 -w xxtcpdump: xx: Permission denied 因为已经是root用户,所以判断不是文件系统权限的问题。 在网上查了一下,找到解决方法:将tcpdump的模式从enforce改为complain模式。 修改过程如下: 先查看处在那个模式: gr...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值