2008年9月18日

[selinux-users:02129] Re: 忍び寄る filesystem capability

宍道です。

> (今)
> [kaigai@xxxxx ~]$ ls -l /bin/ping
> -rwxr-xr-x 1 root root 36712 2008-09-04 17:54 /bin/ping
> [kaigai@xxxxx ~]$ /usr/sbin/getcap /bin/ping
> /bin/ping = cap_net_raw+ep

キタ━━━━━━(゜∀゜)━━━━━━ !!!!!

いずれはとは思っていましたが、
rawhideとはいえディストリで使われるのは
こんなに早くとは思ってませんでした。

帰ったらrawhideを入れてみよ。


2008/09/18 12:15 KaiGai Kohei <kaigai@xxxxx>:
> 海外です
>
> 私は Fedora Rawhide (開発者版) を使っているのですが、
> 従来は setuid プログラムだった /bin/ping が、
> Filesystem capability を利用して最小の特権で動作するよう
> 修正されているようです。
> (iputils-20071127-5.fc10.i386 にて確認)
>
> (昔)
> [kaigai@xxxxx ~]$ ls -l /bin/ping
> -rwsr-xr-x 1 root root 33272 Apr 14 2006 /bin/ping
> ^^^
>
> (今)
> [kaigai@xxxxx ~]$ ls -l /bin/ping
> -rwxr-xr-x 1 root root 36712 2008-09-04 17:54 /bin/ping
> [kaigai@xxxxx ~]$ /usr/sbin/getcap /bin/ping
> /bin/ping = cap_net_raw+ep
>
> 動作中の /bin/ping プロセスの capability を見てみると
> [kaigai@xxxxx ~]$ less /proc/15424/status
> Name: ping
> 〜省略〜
> CapInh: 0000000000000000
> CapPrm: 0000000000002000
> CapEff: 0000000000002000
> CapBnd: ffffffffffffffff
> ↑CAP_NET_RAW 特権だけ
>
> Filesystem capability に関しては、以前、YLUGの読書会でお話した事が
> あるのですが、それ以外の体系的な日本語ドキュメントがありませんので、
> なんとかしないとなぁと思う次第。
>
> (参考:その時の資料)
> http://kaigai.gr.jp/index.php?plugin=attach&pcmd=open&file=YLUG080328_POSIX_Capabilities.pdf&refer=FrontPage
>
> では
> --
> KaiGai Kohei <kaigai@xxxxx>
>
>

--
宍道 洋
hiroshi.shinji@xxxxx


投稿者 xml-rpc : 2008年9月18日 13:19
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/77311
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。