パスワードを忘れた? アカウント作成
7005 story

グループに特定権限を与えられるCapability Override LSM 11

ストーリー by Oliver
ぎぶみー部分権力 部門より

yosshy 曰く、 "freshmeat でのアナウンスで、Capability Override LSM という、プロセスの Group ID (gid) をベースに特権許可を行うモジュールがある事を知りました。これを使うと、ネットワーク管理者グループ netadmin に sgid され、同グループが実行可能な ifconfig コマンドを用意すると、同グループのユーザは root 権限なしでネットワーク設定が出来るというものです。ちょっとした共同システム管理に便利そうです。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by daisuke (6827) on 2003年12月05日 8時28分 (#448569) ホームページ 日記
    ケーパビリティについては最近出たこの記事が参考になると思います。要はプロセスに対して特権を細かく与えることができるものです。

    プロセスケーバビリティを調整する
    [linux.com]

    プロセスケーバビリティ
    [linux.com]
    ケーパビリティとケーパビリティバウンディングセット [linux.com]
  • Webmin (スコア:2, 参考になる)

    by Anonymous Powered (12649) on 2003年12月05日 9時16分 (#448590) 日記
    Webminでは、Webmin UserをUNIX authenticationで登録した上で、
    所属するWebminグループに対して特定モジュールの利用権を持たせる
    ことで、Webminグループベースでこれと似たようなことができますね。

    # Webminの一番おいしいところはGUIではないと思っているのでAP
    • Re:Webmin (スコア:2, 参考になる)

      by one-one (17888) on 2003年12月05日 10時19分 (#448629) 日記

      Webminではないですが RedHat系にあった netcfgというコマンドもユーザが Interfaceをいじるためのオプションがあったような… この場合はGroupで制限とかはなかったような気もしますけど

      でも実際問題 ifconfig の例を考えると

      1. cp /usr/sbin/ifconfig /usr/bin/ifconfig2
      2. chgrp netadmin /usr/bin/ifconfig2
      3. chmod o-x /usr/bin/ifconfig2
      4. chmod u+s /usr/bin/ifconfig2
      とかやれば netadmin というGroupに対してそのような権限を与えることができると思うので あまりサンプルとしては面白くないような気がしますねぇ. ifconfigの別コマンド用意するならあまり変らないし(/usr/sbinにPathが通ってない一般ユーザも多いので/usr/binに置いてみました)
      もっと面白い/便利な使い方があると思うんですけど

      親コメント
      • by yosshy (3545) on 2003年12月06日 2時49分 (#449186) 日記
        例えば、FTP や WebDAV のデーモンに suid や chown できる特権を与えるとか出来そうです。そうすればこれらが root 権限で動く必要はありません。
        親コメント
        • by Anonymous Coward
          rootで動く必要は無くなるけど、結局root盗られたのと同じ事になっちゃいますわなぁ
          rootにsuidした実行ファイルをexecしちゃえば何でもアリなので。

          Execを抑止するケーパビリティがあるといいのかもしれない。

      • by Anonymous Coward
        setuid root しなくてもよい,というのがウリかと...
  • by Anonymous Coward on 2003年12月05日 7時00分 (#448554)
    メンドクセーとか思いながらも visudo でシコシコ
    書き直して現在の所まできたのだけど、
    それよりラクなのかなぁ
  • by Anonymous Coward on 2003年12月05日 10時06分 (#448620)
    RBACと似たようなもの?
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...