A questão é sobre capacidades.
Eu preciso permitir que o usuário defina recursos usando o setcap.
Quando eu chamo pelo root tudo corre bem, eg $ sudo setcap cap_dac_override,cap_dac_read_search+ep ./bin_file
$ getcap ./bin_file
./bin_file = cap_dac_override,cap_dac_read_search+ep
mas quando executo o comando com privilégios de usuário ...
$ /sbin/setcap cap_dac_override,cap_dac_read_search+ep ./bin_file
unable to set CAP_SETFCAP effective capability: Operation not permitted
Eu adicionei a seguinte string em /etc/security/capability.conf :
cap_setfcap,cap_dac_override,cap_dac_read_search user
mas ainda não funciona.
Se um usuário / processo tiver cap_setfcap ou cap_dac_override , será trivial obter acesso root.
Se o usuário for confiável, você poderá adicioná-lo ao grupo sudo / sudoers (depende da configuração) e poderá usar sudo .
Você pode até adicionar regras a /etc/sudoers.d/ para permitir que o usuário execute setcap apenas e somente das maneiras especificadas. No entanto, isso apenas lhe dará uma falsa sensação de segurança.
Como seu /sbin/setcap não tem CAP_SETFCAP bits nem no conjunto herdável nem permitido. O bit efetivo do arquivo também não está definido.
E como richard disse, não fará sentido a segurança se você conceder esses dois recursos a qualquer usuário não raiz
Tags security linux capabilities