我添加了一行,/etc/security/capability.conf
这样我就可以拥有一个用户可以读取所有备份,但不能执行 root 可以执行的所有操作。
cap_dac_read_search backup
如果我为用户添加密码和 shell 然后登录,那么我将获得继承的功能:
backup$ capsh --print
Current: = cap_dac_read_search+i
su
但是当我进入帐户时它没有显示:
user$ sudo su backup -s /bin/sh -c "capsh --print"
Current: =
当然,它适用于sudo
或su
根:
user$ sudo capsh --print
Current: = cap_chown,cap_dac_override, ...
有没有办法在使用时转移功能su
?
答案1
安装libpam-cap
在/etc/pam.d/su
,确保pam_cap.so
出现前 pam_rootok.so
auth optional pam_cap.so
auth sufficient pam_rootok.so
您已经完成capability.conf
设置,接下来就可以开始了!