Описание тега linux-capabilities
Начиная с ядра 2.2, Linux делит привилегии, традиционно связанные с суперпользователем, на отдельные единицы, известные как возможности, которые можно независимо включать и отключать. Возможности - это атрибут потока.
2
ответа
setuid(0) с CAP_SETUID
Я пытаюсь изменить свой UID на 0 как не-root с CAP_SETUID возможность. У меня есть следующая программа: #include <sys/types.h> #include <unistd.h> #include <stdio.h> #include <sys/capability.h> #include <sys/prctl.h> in…
29 сен '10 в 14:30
2
ответа
Возможности файла не передаются в процесс после выполнения
Я пытаюсь написать программу, которая требует повышенных возможностей (а не просто запустить ее с помощью sudo). Однако ни одна из возможностей, которые я установил с помощью setcap, похоже, не передается в процесс после выполнения. Эта проблема воз…
16 авг '16 в 02:36
2
ответа
getcap/setcap не работает в докере контейнера с хостом Debian Stretch
У меня есть хост Debian Stretch: root@jenkins-docker-01:~# lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 9.0 (stretch) Release: 9.0 Codename: stretch root@jenkins-docker-01:~# uname -a Linux jenkin…
22 май '17 в 16:11
1
ответ
Как возможности Linux соотносятся с нулевым / ненулевым UID?
Страница возможностей довольно длинная, и я не до конца понимаю некоторые вещи. Как будет выглядеть, например, функция, которая решает, есть ли у нас доступ к CAP_NET_RAW? Входные данные: a = эффективный идентификатор равен 0 b = Есть некоторый реал…
31 янв '13 в 16:04
1
ответ
Почему CAP_NET_RAW не работает с SO_BINDTODEVICE?
У меня есть следующая простая тестовая программа для создания сокета UDP и привязки его к определенному интерфейсу с помощью SO_BINDTODEVICE так что я могу тогда bind() это так INADDR_ANY получать широковещательные рассылки UDP специально на этом ин…
05 фев '16 в 17:19
1
ответ
Как сканировать возможности процесса
Я хотел бы увидеть возможности Linux для запуска процессов.
17 апр '15 в 16:10
1
ответ
DaemonSet для kubernetes отлично работает в привилегированном режиме, но не работает, даже если все возможности Linux добавлены
У меня есть Daemonset, работающий в привилегированном режиме в кластере kubernetes. Это спецификация YAML набора демонов. apiVersion: extensions/v1beta1 kind: DaemonSet metadata: name: my-daemon spec: template: metadata: labels: app: my-daemon spec:…
03 фев '19 в 18:11
1
ответ
Всегда ли процесс, имеющий пользователя root, обладает всеми возможностями, доступными в Linux?
В Linux процессу, у которого есть пользователь без полномочий root, могут быть назначены некоторые возможности для повышения его привилегий. И процесс, у которого есть пользователь root, имеет все доступные возможности, но может ли такой процесс уда…
19 фев '19 в 06:04
0
ответов
Запуск процесса от супервизора с установленным rtprio
Мне нужно начать процесс с помощью супервизора. Но процесс должен быть запущен с установленным неограниченным значением rtprio. Для учетной записи пользователя это было установлено так в файле /etc/security/limits.conf, но процесс, запущенный суперв…
14 дек '18 в 11:59
2
ответа
Как сопоставить системные вызовы Linux с возможностями
Я хочу запустить контейнер в непривилегированном режиме. Это попытка сохранить его более безопасным и для лучшего контроля. Я записал несколько системных вызовов из своего контейнера. Ниже приведены системные вызовы: recvfrom ММАП записывать читать …
26 сен '18 в 09:07
2
ответа
Побочные эффекты разрешения контейнера прослушивать порт 80
Чтобы упростить управление портами служб между контейнерами Docker, я хотел бы разрешить содержащимся HTTP-службам прослушивать TCP-порт HTTP по умолчанию 80 для IP-адресов их соответствующих контейнеров. Прослушивание номеров портов ниже 1025 класс…
16 мар '17 в 09:50
2
ответа
stdbuf с setuid/ возможностями
Я читаю вывод из другого процесса, который генерирует вывод (медленный и бесконечный). Поскольку я хочу читать эти данные в режиме реального времени, я использую "stdbuf -oL" (с буферизацией строки, данные являются текстовыми). У меня нет контроля н…
30 ноя '12 в 11:07
1
ответ
Назначение возможности linux одному процессу java
Я запускаю много Java-процессов, но я просто хочу назначить возможность linux cap_net_raw только одному Java-процессу. В настоящее время, если я сделаю это "setcap cap_net_raw = ep / usr / java / default / bin / java", то эта возможность будет назна…
08 окт '15 в 20:13
1
ответ
Развивающее тестирование программ с использованием возможностей Linux POSIX
Я разрабатываю проект, в котором исполняемые файлы используют возможности Linux POSIX, а не setuid root. До сих пор мне приходилось держать одну корневую оболочку открытой, чтобы при каждой перекомпиляции я мог повторить setcap команда, чтобы дать н…
28 ноя '14 в 05:00
1
ответ
Работают ли возможности Linux с binfmt_misc?
Я потенциально заинтересован в использовании возможностей Linux для программы (в частности, cap_net_bind_service разрешить привязку программы к порту TCP менее 1024). Тем не менее, я хотел бы сделать это для программы на C#, работающей под Mono. Обы…
13 май '15 в 00:21
4
ответа
Привилегированные контейнеры и возможности
Если я запускаю контейнер в привилегированном режиме, он имеет все возможности ядра или мне нужно добавить их отдельно?
05 апр '16 в 11:33
0
ответов
Настройка возможностей для исполняемого файла Anaconda на python
Я недавно перешел на Анаконду, но столкнулся с проблемой. Мой код Python использует разделяемую библиотеку C++, которая получает необработанные кадры из интерфейса. Для этого обычно требуются права root. Чтобы не использовать sudo для каждого выполн…
22 фев '17 в 20:28
1
ответ
Какие возможности необходимы, чтобы statx прекратил давать EPERM
У меня есть проект Qt, который использует интерфейс плагина, который прекрасно компилируется в моей системе. Однако, когда тот же проект скомпилирован в Docker, он перестал работать с Qt 5.10.1, выдав сообщение Error: Undefined interface, После неко…
26 фев '18 в 19:34
1
ответ
Linux: установка приоритета процесса и динамическая загрузка библиотек
У меня есть приложение Linux, которое загружает библиотеки *.so, используя измененный rpath (устанавливается во время установки). Он также должен работать с приоритетом в реальном времени. Чтобы получить приоритет в реальном времени, он делает это: …
17 июл '18 в 06:30
0
ответов
Запустите приложение в Docker-контейнере как пользователь без полномочий root с возможностями
Я попытался запустить простой эхо-сервер Python UDP, прослушивающий порт 507, внутри контейнера докера, который использует пользователя без полномочий root. Dockerfile выглядит так: FROM docker.io/centos RUN yum -y install iputils iproute COPY echo-…
09 сен '16 в 09:12