我添加了一行,/etc/security/capability.conf这样我就可以拥有一个用户可以读取所有备份,但不能执行 root 可以执行的所有操作。
cap_dac_read_search backup
如果我为用户添加密码和 shell 然后登录,那么我将获得继承的功能:
backup$ capsh --print
Current: = cap_dac_read_search+i
su但是当我进入帐户时它没有显示:
user$ sudo su backup -s /bin/sh -c "capsh --print"
Current: =
当然,它适用于sudo或su根:
user$ sudo capsh --print
Current: = cap_chown,cap_dac_override, ...
有没有办法在使用时转移功能su?
答案1
安装libpam-cap
在/etc/pam.d/su,确保pam_cap.so出现前 pam_rootok.so
auth optional pam_cap.so
auth sufficient pam_rootok.so
您已经完成capability.conf设置,接下来就可以开始了!