Início / unix / Perguntas / 454708
Accepted
Win32Sector
Asked: 2018-07-12 06:54:43 +0800 CST

Como você adiciona permissões `cap_sys_admin` ao usuário no CentOS 7?

  • 772

Eu tentei adicionar cap_sys_adminpermissões ao usuário myroot.

Para isso, adicionei estas linhas a /etc/security/capabilities:

cap_sys_admin myroot
none *

e esta linha para /etc/pam.d/su:

auth            required        pam_cap.so

Mas o usuário myroot não tem essas permissões.

O que posso fazer para adicionar essas permissões ao meu usuário?

linux permissions

1 respostas

  1. Best Answer

    Eu acredito que o arquivo é chamado /etc/security/capability.confnot /etc/security/capabilities. Eu consegui fazer isso funcionar assim:

    $ cat /etc/security/capability.conf
cap_sys_admin   user1

    E, em seguida, adicionando pam_cap.soao PAM. NOTA: É imperativo que pam_cap.sovenha antes da pam_rootok.solinha.

    $ cat /etc/pam.d/su
#%PAM-1.0
auth        optional    pam_cap.so
auth        sufficient  pam_rootok.so
...
...

    Exemplo

    Aqui com o acima no lugar se eu executar o seguinte sucomando:

    $ su - user1

    Posso verificar as capacidades deste usuário:

    $ capsh --print
Current: = cap_sys_admin+i
Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,35,36
Securebits: 00/0x0/1'b0
 secure-noroot: no (unlocked)
 secure-no-suid-fixup: no (unlocked)
 secure-keep-caps: no (unlocked)
uid=1001(user1)
gid=1001(user1)
groups=1001(user1)

    A linha chave nessa saída:

    Atual: = cap_sys_admin+i

    Pacotes

    Isso foi feito em uma caixa CentOS 7.x. Eu tinha esses pacotes instalados referentes aos recursos:

    $ rpm -qa | grep libcap
libcap-ng-utils-0.7.5-4.el7.x86_64
libcap-2.22-9.el7.x86_64
libcap-ng-0.7.5-4.el7.x86_64

    Eles fornecem as seguintes ferramentas úteis ao lidar com recursos:

    $ rpm -ql libcap-ng-utils | grep /bin/
/usr/bin/captest
/usr/bin/filecap
/usr/bin/netcap
/usr/bin/pscap

$ rpm -ql libcap | grep /sbin/
/usr/sbin/capsh
/usr/sbin/getcap
/usr/sbin/getpcaps
/usr/sbin/setcap

    NOTA: Consulte as respectivas páginas de manual dessas ferramentas se precisar de mais informações sobre seu uso.

    Referências

    • 15

relate perguntas