4.8 Les privilèges : exemples de fichiers exécutables
- Les exemples ci-dessous comparent les deux solutions pour le programme
ping qui nécessite le privilège CAP_NET_RAW pour ouvrir
une socket en mode raw.
- fcaps :
- ping n'a pas besoin d'être SUID root
- Le processus a pour identité celle de l'utilisateur qui l'a lancé.
- elfcap
- ping doit être SUID root
- Le processus peut avoir pour identité celle de l'utilisateur qui l'a
lancé si l'option adéquate a été utilisée lors de la définition des
privilèges accordés; sinon il sera root.
- Notes :
- le patch fcaps n'est pas suffisamment avancé pour être
utilisé sur des systèmes en production : risques de corruptions de
systèmes de fichiers.
Les utilitaires nécessaires sont ceux fournis avec la libcap.
- le patch elfcap est suffisamment avancé pour être utilisé sur
des systèmes en production.
Les utilitaires nécessaires doivent être récupérés avec le patch.
Ce système est actuellement limité aux fichiers au format elf.
|
® © Hervé Schauer Consultants 1999 -
142, rue de Rivoli -
75001 Paris