https://www.opennet.ru/openforum/vsluhforumID10/5622.html Скрипты с:<br>setpriv ...<br>capsh ...<br>...<br>не предлагать!<br><br>Править исходники на C для сброса привилегий - не предлагать.<br><br>Сыстемды сервисы с cap - не предлагать.<br><br>Патчи Capability-NG от Google заманчивые, это то что в принципе подходит, но не предлагать. ;)<br><br>Хочу чисто существующими xattr file capability права на файл установить так, чтобы root его запускал и процесс имел пониженные привилегии.<br><br>setcap ...<br><br>Просмотреть привилегии можно например в pscap.<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#18 Mon, 10 Feb 2025 09:46:52 GMT Что никому здесь CAP не нужны?<br>Google в Android умеет сбрасывать права root своим init: https://chromium.googlesource.com/aosp/platform/system/core/...<br><br>"If no capabilities are provided, then all capabilities are removed from this service, even if it runs as root."<br><br><br>До ядра 2.6.25 права резались общесистемно, а в новых версиях заявлена по поточна поддержка прав. В Linux на каждый процесс можно выставить свои права.<br><br>Общесистемные, доступные права в /proc/sys/kernel/cap-bound можно было когдато редактировать lcap: https://kursfinder.ru/no-code/ <br>lcap - A user friendly interface to remove capabilities (kernel-based access control) in the kernel, making the system more secure. For example, executing lcap CAP_SYS_MODULE will remove module loading capabilities (even for the root user).<br><br>CapInh для root можно выставить в /etc/security/capabilities.conf как сбросить права root процессов с помощью XATTR security.capability?<br><br>Всегда Актуально <br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#17 Fri, 12 Apr 2024 17:51:49 GMT https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309<br><br>и вывод pscap с:<br>Huawei EulerOS<br>SUSE Linux Enterprise Server<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#16 Fri, 12 Apr 2024 17:46:58 GMT CC - развод лохов маркетологами.<br><br>Давай тесты сертифицированных по СС OS на предмет удовлетворения требований уровню C2 1983 года: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#301<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#15 Sat, 30 Mar 2024 11:43:05 GMT С 2005 года TCSEC заменены на Общие критерии.<br>Из закрытых систем EAL6+ соответствует Huawei HongMeng Kernel V100R006C00SPC020B030.<br>Из открытых систем EAL4+ соответствуют Huawei EulerOS v2.0 (V200R002C20) и SUSE Linux Enterprise Server 15 SP2.<br>https://commoncriteriaportal.org/products/index.cfm<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#14 Tue, 28 Feb 2023 11:06:55 GMT Все равно лучше CAP чем нечего. Привилегии root процессов разать надо.<br><br>Кто-то выще малтикса на уровне B3 что-то когдато делал? Есть ссылки по успешному использованию capabilities для ограичения root в GNU/Linux дистрах?<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#13 Tue, 28 Feb 2023 05:06:50 GMT &gt; исследование показало неожиданные результаты: 19 из 35 существующих "capabilities" позволили совершить действия, которые в конечном итоге потенциально могут привести к получению полноценных прав пользователя root.<br><br>https://www.opennet.ru/opennews/art.shtml?num=29219<br><br>http://forums.grsecurity.net/viewtopic.php?f=7&t=2522<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#12 Tue, 19 Apr 2022 12:35:15 GMT &gt; Что никому здесь CAP не нужны?<br><br>Всем нужны, но все стесняются поднять этот вопрос.<br><br>У меня от root для ВСЕХ задач запускаются ~50 программ. Все необходимые и достаточные CAP для этих 50 прог собрал. Это всего ~50 строк простейшего кода, который выставит необходимые и достаточные привилегии для этих прог с битом наследования.<br><br>В /etc/security/capability.conf прописать:<br>перечень,необходимых,и,достаточных,прав root<br># а остальным все запретить:<br>none *<br><br>Вот только дырявое ведро линукса согласно<br> man 7 capabilities https://man7.org/linux/man-pages/man7/capabilities.7.html<br>Не хочет обрабатывать права для root тупо в permitted и effective записывая все без фильтра.<br><br>Надо бы опцию какюто в .config и параметрах загрузки ядра иметь, чтобы для root CAP обрабатывались, как для обычного пользователя!<br><br>Есть еще вариантант СТРАШНЫЙ КОСТЫЛЬ:<br><br>https://man7.org/linux/man-pages/man7/capabilities.7.html<br><br> Set-user-ID-root programs that have file capabilities<br> There is one exception to the behavio https://www.opennet.ru/openforum/vsluhforumID10/5622.html#11 Wed, 30 Mar 2022 15:13:51 GMT Что никому здесь CAP не нужны?<br><br>Google в Android умеет сбрасывать права root своим init: https://chromium.googlesource.com/aosp/platform/system/core/+/master/init/README.md<br><br>"If no capabilities are provided, then all capabilities are removed from this service, even if it runs as root."<br><br><br>До ядра 2.6.25 права резались общесистемно, а в новых версиях заявлена по поточна поддержка прав. В Linux на каждый процесс можно выставить свои права.<br><br>Общесистемные, доступные права в /proc/sys/kernel/cap-bound можно было когдато редактировать lcap: https://www.debian.org/doc/manuals/securing-debian-manual/ch10s04.en.html<br><br>lcap - A user friendly interface to remove capabilities (kernel-based access control) in the kernel, making the system more secure. For example, executing lcap CAP_SYS_MODULE will remove module loading capabilities (even for the root user).<br><br>CapInh для root можно выставить в /etc/security/capabilities.conf как сбросить права root процессов с помощью XATTR security.capability?<br> https://www.opennet.ru/openforum/vsluhforumID10/5622.html#10 Fri, 25 Mar 2022 08:01:20 GMT &gt; В первом случае капы даются только на бинарник. Во втором Васе вообще. <br>&gt; С точки зрения безопасности первый вариант уже и лучше. Второй слишком много прав.<br><br>Садись, двойка.<br><br>В первом случае права CAP даются на бинарник всем, а с помощью DAC право запускать бинарь разрешают только группе wiresharck. Таким образом права CAP фактически получат только члены этой группы и только на процесс dumpcap.<br><br>Во втором случае в /etc/security/capability.conf, пользователю дается только возможность наследовать определенные права CAP, а сами права он получает только при исполнении файла для которого установлены эти права с битом наследования. Таким образом права CAP фактически получит только определенные в /etc/security/capability.conf пользователи и только на процесс dumpcap.<br><br>Заметь разницу:<br><br>Вариант 1<br>setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap<br><br>Вариант 2<br>setcap cap_dac_read_search,cap_net_admin,cap_net_raw=i /usr/bin/dumpcap<br><br>PS: как права root порезать знаешь? Ссылки на патч