Hello Vladimir A. Podgorny! Tue, Aug 19, 2003 at 07:35:59PM +0300, raven wrote about "[uanog] Re: linux capabilities": VAP> Не, речь идет о том, что используя 2.4.x capabilities можно заставить VAP> нечто байндиться на порт ниже 1024 без рутовых привилегий вообще (т.е. VAP> даже сбрасывать ничего не нужно будет). моя понимает :) Но насколько я знаю, то поддержки capabilities на уровне файловой системы нету (что бы для конкретного бинарника описать его capabilities) Был древний патч, который позволял прописывать capabilities в ELF header'е, но оно требовала патченья и лоадера и еще кучи всего и так не прижилось. А так capabilities используются несколько по другому - при инициализации демона устанавливаются только те, которые реально необходимы для работы именно этого сервиса и все. И даже если где-то будет в коде уязвимость, то даже проэксплойтив нельзя будет ничего сделать, что не входит в рамки функционирования сервиса. Я конечно могу ошибаться - поэтому welcome с комментариями :)
vsftpd умеет - можно в него посмотреть. Так же можно смотреть на http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/ тут есть FAQ
http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/capfaq-... CU! -- //ShaD0w =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message