Perguntas sobre 'capabilities'

Tags
1
resposta

Recursos do Linux com espaços para nome de usuário

Estou confuso sobre como os recursos de arquivo funcionam em relação aos namespaces de usuário. Pelo que entendi, se um arquivo tem uma capacidade, então qualquer thread / processo executando o arquivo pode atingir o recurso. No meu ping biná...
09.02.2018 / 18:42
1
resposta

Como ler o diretório / proc / pid / fd de um processo, que possui um recurso linux?

Como usuário não raiz, estou executando um processo. O processo binário recebeu um recurso cap_sys_resource. Mesmo que o processo seja de propriedade do mesmo usuário, esse usuário não pode ler seu diretório / proc // fd. As permissões em / proc...
12.05.2017 / 07:15
1
resposta

Como identificar quais recursos são necessários para um comando?

Quando executo um comando em um contêiner docker, vejo: # ip netns exec 9ee961d90990 ifconfig setting the network namespace "9ee961d90990" failed: Operation not permitted Posso iniciar meu contêiner com recursos expandidos diretamente (ad...
28.06.2016 / 00:49
1
resposta

por que o CAP_SYS_ADMIN é necessário para o CLONE_NEWPID?

man 2 unshare nos diz Use of CLONE_NEWPID requires the CAP_SYS_ADMIN capability e a leitura sugerida para mais informações man 7 pid_namespaces realmente não discute o risco presumível que torna necessário restringir pid_namespaces...
01.08.2016 / 14:07
1
resposta

Como definir recursos com o comando setcap?

Eu gostaria de configurar o wpa_supplicant e openvpn para ser executado como usuário não-root, como a configuração recomendada para o wireshark . Não consigo encontrar nenhuma documentação para o que +eip neste exemplo significa: sudo s...
02.09.2017 / 00:17
0
respostas

setcap no dhclient parece não ter efeito

Estou tendo um tempo bastante frustrante para que o dhclient seja executado a partir de um usuário normal usando o setcap. Por causa do ambiente com o qual estou trabalhando, adicionar aos sudoers não é uma opção. Minha tentativa: sudo set...
10.02.2017 / 16:50
1
resposta

Por que um hardlink de processo do UID 0 não pode ser processado em arquivos SUID em um namespace de usuário?

Considere a seguinte transcrição de um shell user-namespace executado com privilégios de root (UID 0 dentro do namespace, fora privilegiado): # cat /proc/$$/status | grep CapEff CapEff: 0000003cfdfeffff # ls -al total 8 drwxrwxrwx 2 root r...
16.09.2015 / 22:17
0
respostas

Substituição por limite de limite

Temos um kernel antigo do Linux a partir do zero usado em um de nossos sistemas, que usa o antigo mecanismo de limite de limite (modificando /proc/sys/kernel/cap-bound ) para restringir os recursos do sistema. Isso foi feito no momento da inic...
11.08.2015 / 17:14
0
respostas

Posso adicionar a regra iptables de dentro de um programa C Linux apenas com recursos ou preciso necessariamente de root?

Eu preciso adicionar uma regra iptables dentro de um programa Linux. Como devo fazer? Preciso de privilégios de root ou posso apenas conceder alguns recursos? Eu tentei conceder CAP_NET_RAW + iep e usar popen (), system () e execve () para...
05.10.2015 / 20:24
1
resposta

Como instalar recursos do Linux como setcap e getcap?

Na minha máquina openSUSE 13.2 eu posso aplicar comandos como setcap e getcap em alguma aplicação. Mudei esse aplicativo para uma máquina do openSUSE 12 que não possui recursos instalados. Na máquina 13.2 tenho pacotes libcap-ng0 , libc...
10.03.2015 / 11:52