グループに特定権限を与えられるCapability Override LSM 11
ストーリー by Oliver
ぎぶみー部分権力 部門より
ぎぶみー部分権力 部門より
yosshy 曰く、 "freshmeat でのアナウンスで、Capability Override LSM という、プロセスの Group ID (gid) をベースに特権許可を行うモジュールがある事を知りました。これを使うと、ネットワーク管理者グループ netadmin に sgid され、同グループが実行可能な ifconfig コマンドを用意すると、同グループのユーザは root 権限なしでネットワーク設定が出来るというものです。ちょっとした共同システム管理に便利そうです。"
ケーパビリティの解説記事 (スコア:4, 参考になる)
プロセスケーバビリティを調整する [linux.com]
プロセスケーバビリティ [linux.com]
ケーパビリティとケーパビリティバウンディングセット [linux.com]
Webmin (スコア:2, 参考になる)
所属するWebminグループに対して特定モジュールの利用権を持たせる
ことで、Webminグループベースでこれと似たようなことができますね。
# Webminの一番おいしいところはGUIではないと思っているのでAP
Re:Webmin (スコア:2, 参考になる)
Webminではないですが RedHat系にあった netcfgというコマンドもユーザが Interfaceをいじるためのオプションがあったような… この場合はGroupで制限とかはなかったような気もしますけど
でも実際問題 ifconfig の例を考えると
もっと面白い/便利な使い方があると思うんですけど
Re:Webmin (スコア:1)
Re:Webmin (スコア:0)
rootにsuidした実行ファイルをexecしちゃえば何でもアリなので。
Execを抑止するケーパビリティがあるといいのかもしれない。
Re:Webmin (スコア:0)
権限は sudo でコントロール (スコア:0)
書き直して現在の所まできたのだけど、
それよりラクなのかなぁ
Re:権限は sudo でコントロール (スコア:0)
Re:権限は sudo でコントロール (スコア:0)
# セキュリティは人ナリよ、の悪例なのでAC
# apachectl graceful とか postqueue -f は sudo しとくと
# 運用便利。
Solarisの (スコア:0)
Re:Solarisの (スコア:1)