2008年9月18日

[selinux-users:02128] 忍び寄る filesystemcapability

海外です

私は Fedora Rawhide (開発者版) を使っているのですが、
従来は setuid プログラムだった /bin/ping が、
Filesystem capability を利用して最小の特権で動作するよう
修正されているようです。
(iputils-20071127-5.fc10.i386 にて確認)

(昔)
[kaigai@xxxxx ~]$ ls -l /bin/ping
-rwsr-xr-x 1 root root 33272 Apr 14 2006 /bin/ping
^^^

(今)
[kaigai@xxxxx ~]$ ls -l /bin/ping
-rwxr-xr-x 1 root root 36712 2008-09-04 17:54 /bin/ping
[kaigai@xxxxx ~]$ /usr/sbin/getcap /bin/ping
/bin/ping = cap_net_raw+ep

動作中の /bin/ping プロセスの capability を見てみると
[kaigai@xxxxx ~]$ less /proc/15424/status
Name: ping
〜省略〜
CapInh: 0000000000000000
CapPrm: 0000000000002000
CapEff: 0000000000002000
CapBnd: ffffffffffffffff
↑CAP_NET_RAW 特権だけ

Filesystem capability に関しては、以前、YLUGの読書会でお話した事が
あるのですが、それ以外の体系的な日本語ドキュメントがありませんので、
なんとかしないとなぁと思う次第。

(参考:その時の資料)
http://kaigai.gr.jp/index.php?plugin=attach&pcmd=open&file=YLUG080328_POSIX_Capabilities.pdf&refer=FrontPage

では
--
KaiGai Kohei <kaigai@xxxxx>


投稿者 xml-rpc : 2008年9月18日 12:15
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/77310
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。