« Acerca del poder de root y permisos de usuarios y grupos Mandriva 2009 y además LPI »

Acerca del poder de root y permisos de usuarios y grupos II

August
18th
member
admin

Una manera no tan conocida (tal vez por su relativa inmadurez) son las POSIX CAPABILITIES en Linux. Las PCaps permiten asignar determinados permisos a procesos y archivos ejecutables. La idea es evitar el uso del poderoso pero a la vez peligroso SUID Bit.

El archivo  /usr/include/linux/capability.h contiene la descripción definición de las 31 PCaps. Para poder usarlas:

  • Verificar que esta soportado por el kernel

Soporte de PCaps

  • Habilitar KPROBES y compilar si es necesario

Habilitar KPROBES en el kernel

  • Compilar e instalar las nuevas libreras PCAPS

Se trata de la version 2.x de estas libreras que in

cluyen las herramientas setcap y getcap.

  • Cargar el modulo capable_probe

Este módulo es muy importante para comenzar a usar las PCaps e ir aprendiendo como funcionan. De esta manera, podremos ver los mensajes relativas a las PCaps en el archivo /var/log/messages. Hay que tener en cuenta que dicho archivo crecer notablemente, por lo que se recomienda no tener cargado todo el tiempo el módulo capable_probe.

Una de las primeras cosas que se pueden hacer es probar alguna aplicación y ver que capabilities esta usado. Por ejemplo, vemos que el comando at requiere la facultad para realizar diversas tareas administrativas, pasar por el alto el control de acceso discrecional, cambiar propietarios de archivos, manipulación de SUID y SGID bits.
PCaps requeridas

Espero pronto poder escribir algunas cosas ms sobre este apasionante tema.


date Posted on: Monday, August 18, 2008 at 8:12 pm
Category Artículos Técnicos.
You can follow any responses to this entry through the RSS 2.0 feed.

You can leave a response, or trackback from your own site.



One Response to “Acerca del poder de root y permisos de usuarios y grupos II”

  1. Franco

    Estimado Sergio, buenas noches,

    Encontrè tu nombre en unos foros del SecureW2, mientras buscaba informaciòn para poder conectarme a una red de mi facultad, de modo EAP-TTLS, supongo que fuiste vos quièn estuvo en ese tema.
    Si no te molesta, agradecerè me contactes vìa mail que necesito ayuda de alguien entendido para poder configurar un perfil en mi ipod touch para poder acceder al WiFi.

    Agradecido, espero tu contacto.
    Saludos,

    Franco

    September 17th, 2008 at 9:55 pm
     

Leave a Reply


SEBELK FOSS is powered by WordPress
Theme is Coded&Designed by Wordpress Themes at ricdes