Привет Кто-то $subj замучал Что-то не выходит каменный цветок Хочу запустить индейца сразу не от рута с помощью cap_net_bind_service, но как-то оно странненько у меня не работает Может у кого для 2.4.x есть success story -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - U.S. Postal Service =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Alexander Trotsai! Tue, Aug 19, 2003 at 07:10:44PM +0300, mage wrote about "[uanog] linux capabilities": OAT> Кто-то $subj замучал AT> Что-то не выходит каменный цветок AT> Хочу запустить индейца сразу не от рута с помощью В нем это задумано ? Или сам хочешь пропатчить ? AT> cap_net_bind_service, но как-то оно странненько у меня не AT> работает AT> Может у кого для 2.4.x есть success story vsftpd умеет - можно в него посмотреть. Так же можно смотреть на http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/ CU! -- //ShaD0w =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, 19 Aug 2003, Michail Litvak wrote:
OAT> Кто-то $subj замучал AT> Что-то не выходит каменный цветок AT> Хочу запустить индейца сразу не от рута с помощью
В нем это задумано ? Или сам хочешь пропатчить ?
Не, речь идет о том, что используя 2.4.x capabilities можно заставить нечто байндиться на порт ниже 1024 без рутовых привилегий вообще (т.е. даже сбрасывать ничего не нужно будет).
AT> cap_net_bind_service, но как-то оно странненько у меня не AT> работает AT> Может у кого для 2.4.x есть success story
vsftpd умеет - можно в него посмотреть. Так же можно смотреть на http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/
-- Vladimir A. Podgorny Adamant ltd. deputy director (technical) phone/fax: +380(44)5667722 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Vladimir A. Podgorny! Tue, Aug 19, 2003 at 07:35:59PM +0300, raven wrote about "[uanog] Re: linux capabilities": VAP> Не, речь идет о том, что используя 2.4.x capabilities можно заставить VAP> нечто байндиться на порт ниже 1024 без рутовых привилегий вообще (т.е. VAP> даже сбрасывать ничего не нужно будет). моя понимает :) Но насколько я знаю, то поддержки capabilities на уровне файловой системы нету (что бы для конкретного бинарника описать его capabilities) Был древний патч, который позволял прописывать capabilities в ELF header'е, но оно требовала патченья и лоадера и еще кучи всего и так не прижилось. А так capabilities используются несколько по другому - при инициализации демона устанавливаются только те, которые реально необходимы для работы именно этого сервиса и все. И даже если где-то будет в коде уязвимость, то даже проэксплойтив нельзя будет ничего сделать, что не входит в рамки функционирования сервиса. Я конечно могу ошибаться - поэтому welcome с комментариями :)
vsftpd умеет - можно в него посмотреть. Так же можно смотреть на http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/ тут есть FAQ
http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/capfaq-... CU! -- //ShaD0w =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
я пытался использовать setpcaps/execcap/sucap и не получается On Tue, Aug 19, 2003 at 07:57:47PM +0300, Michail Litvak wrote: ML>Hello Vladimir A. Podgorny! ML> Tue, Aug 19, 2003 at 07:35:59PM +0300, raven wrote about "[uanog] Re: linux capabilities": ML>VAP> Не, речь идет о том, что используя 2.4.x capabilities можно заставить ML>VAP> нечто байндиться на порт ниже 1024 без рутовых привилегий вообще (т.е. ML>VAP> даже сбрасывать ничего не нужно будет). ML>моя понимает :) Но насколько я знаю, то поддержки capabilities на уровне ML>файловой системы нету (что бы для конкретного бинарника описать его ML>capabilities) Был древний патч, который позволял прописывать capabilities ML>в ELF header'е, но оно требовала патченья и лоадера и еще кучи всего и ML>так не прижилось. ML> А так capabilities используются несколько по другому - при инициализации ML>демона устанавливаются только те, которые реально необходимы для работы ML>именно этого сервиса и все. И даже если где-то будет в коде уязвимость, ML>то даже проэксплойтив нельзя будет ничего сделать, что не входит в рамки ML>функционирования сервиса. ML>Я конечно могу ошибаться - поэтому welcome с комментариями :) ML>>> vsftpd умеет - можно в него посмотреть. ML>>> Так же можно смотреть на ML>>> http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/ ML>тут есть FAQ ML>http://www.kernel.org/pub/linux/libs/security/linux-privs/kernel-2.4/capfaq-... ML> ML>CU! ML>-- ML>//ShaD0w ML>=================================================================== ML>uanog mailing list. ML>To Unsubscribe: send mail to majordomo@uanog.kiev.ua ML>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Daemons loose in system. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (3)
-
Alexander Trotsai -
Michail Litvak -
Vladimir A. Podgorny