根据最佳实践,我不想以 root 身份运行 Wine,http://wiki.winehq.org/FAQ 我看到过很多使用 setcap 进行网络连接的例子,但是用于文件读取访问的例子却不多。 本质上,我试图让应用程序能够读取所有文件和子目录,至少具有以下权限:-r-------- 1 root root 我尝试使用内置搜索,但失败了。存在一个包含我感兴趣的特定字符串的文件,但我不记得它的文件名或目录,所以我打算使用 PowerGREP 来定位它,但如果没有 setcap 之类的增强功能,root 拥有的文件无法通过 Wine 中生成的应用程序轻松读...
当对文件使用 setcap 时,这种改变是永久性的还是我必须在启动时在某处调用 setcap? setcap cap_sys_nice fooexecutable ...
因此,我在 Unix 和 Linux Stack Exchange 上提出了同样的问题,但我没有收到任何答案。我想使用 perf 实用程序。我按照说明设置了一组特权用户,这些用户被允许无限制地执行性能监控和可观察性(按照此处的说明:https://www.kernel.org/doc/html/latest/admin-guide/perf-security.html)。我添加了该组并限制了不在该组中的用户的访问权限。在为 perf 工具分配功能时,我开始遇到问题: setcap cap_sys_admin,cap_sys_ptrace,cap_syslog...
服务启动并尝试监听端口#443,我得到 errno=99,即 EADDRNOTAVAIL,并且 std::strerror(errno) 报告“无法分配请求的地址”。 如果我运行 sudo getcap /path/to/binary 我会得到这个:/usr/local/binary_file = cap_net_bind_service+ep 这似乎意味着它有能力,但我无法绑定到端口,有人可以帮助我解决这个问题吗? ...
我使用一个典型cp /bin/ping p命令将 /usr/bin/ping 文件复制到另一个位置(我的主目录),然后它停止工作,因为缺少权限。确切地说: Ping:icmp 打开套接字:不允许操作。 我知道这sudo更能解决我的问题,但是我不应以超级用户身份登录。 我也知道这(可能)是由于缺少某些权限或功能(事实上,getcap我复制的文件显示它缺少原始 ping 的功能),但不幸的是,如果没有 root 权限,我无法使用它setcap。。或者也许我可以?不知何故? 我该如何解决这个问题并能够使用我的 ping 文件副本./p? ...
命令是什么setcap,什么是file capability,以及下面的“setcap 输出”的含义: CAP_NET_RAW+eip CAP_NET_ADMIN+eip "/usr/bin/dumpcap" 运行 Wireshark-“Lua:加载时出错” ...
由于 wl 内核模块,Conky 无法获取我的无线 essid,我的普通用户帐户也无法获取。如果我能获取 sudo iwconfig wlan0 ,那就没问题,如果我以 root 身份运行 conky,那就没问题,但我不想那样做。 解决方案是这里进一步来说此链接是我遵循的,效果很好。有一段时间了……现在它不再起作用了,我不知道为什么。 它对我的用户帐户有效。如果我运行 iwconfig,我会看到所有无线信息。如果我输入 ${exec iwconfig wlan0} 我的 conky 配置,conky 会吐出所有无线信息,包括 ssid...
有一个非能力感知程序至少需要 1)cap_sys_admin和 2)cap_dac_override或cap_dac_read_search。这可以证明如下: sudo setcap 'all=ep cap_sys_admin-ep' ./binary` # ./binary doesn't work sudo setcap 'all=ep cap_dac_override-ep' ./binary` # ./binary works sudo setcap 'all=ep...
.png)
我想使用 perf 实用程序。我按照说明设置了一个特权用户组,这些用户被允许无限制地执行性能监控和可观察性(如下所示:https://www.kernel.org/doc/html/latest/admin-guide/perf-security.html)。我添加了该组并限制了不在该组中的用户的访问权限。在为 perf 工具分配功能时,我开始遇到问题: setcap cap_sys_admin,cap_sys_ptrace,cap_syslog=ep perf 我收到无效参数错误说 fatal error: Invalid argument usage:...
我正在评估如何以尽可能少的权限以更安全的方式使用 tcpdump。两种可能性: 1.-Z选项 如果 tcpdump 以 root 身份运行,则在打开捕获设备或输入保存文件之后,但在打开任何保存文件进行输出之前,请将用户 ID 更改为 user,将组 ID 更改为用户的主要组。 此行为也可以在编译时默认启用。 Afaik tcpdump 打开网络接口以混杂模式进行嗅探,并-r使用 root 可能打开一个文件(标志),但会更改用户权限前开始任何进一步的输出。 这应该最大限度地减少可能的攻击媒介,因为解析网络流量和可能的恶意网络数据包是作为非特权用户完成的。例...
我从中学到了这里有两种方法可以控制特权活动:setuid和capability。 但是当我在我的机器上玩时ping,它似乎可以绕过这两种机制。 首先,确认我的机器/usr/bin/ping有cap_net_raw能力并且它使用SOCK_RAW: $ ll /usr/bin/ping -rwxr-xr-x 1 root root 72K Jan 31 2020 /usr/bin/ping $ getcap /usr/bin/ping /usr/bin/ping = cap_net_raw+ep $ stra...
从 CUDA 10.1 开始,用户需要拥有 sudo 权限才能使用 cuda 分析工具(例如nvprof或 nsightcompute ncu)收集高级指标。 这里描述了解决这个问题的替代方案: https://developer.nvidia.com/nvidia-development-tools-solutions-err-nvgpuctrperm-nvprof 上面的链接提到可以使用 CAP_SYS_ADMIN 来启用这些指标的收集。 为了理解这个问题,我发现了这个富有洞察力的堆栈溢出响应: https://stackoverflow.com/...
我正在尝试以非 root 身份在 arch 上运行 wifi-menu 。我尝试过的 setcap 不起作用。 [root@lilegg johny]# setcap CAP_NET_ADMIN,CAP_SYS_ADMIN,CAP_NET_RAW,CAP_DAC_OVERRIDE=eip /usr/bin/wifi-menu [root@lilegg johny]# exit exit [johny@lilegg ~]$ wifi-menu wifi-menu needs root privileges 我有什么错? ...
我想在端口 80 上运行一个一次性的 Web 服务器,我再也不会运行它了。 是否有像“sudo”这样的东西只CAP_NET_BIND_SERVICE为进程提供临时根而不是真正的根?这样我们就不必使用chmodor setcap。 ...
我交叉编译了一个在 Debian Stretch 上运行的可执行文件,它需要特定版本的 cURL(大于 7.56)才能运行,并且在执行过程中需要特定的功能。因此,我将在可执行文件上运行: $ sudo setcap cap_net_raw,cap_net_admin+eip my_executable 运行此 setcap 后,然后运行可执行文件,我最终会出现以下错误: curl_easy_perform() failed: Out of memory 笔记此错误预计是由于早期版本的 CURL 存在错误所致。这就是为什么我们需要升级到上面的 cU...