Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
05 septembre 2015

Linux FileSystems capabilities           Configuration du système


capsh

capsh

capability shell wrapper

   Le support et l'utilisation des capabilities Linux peuvent être explorés et contraints avec cet outil. Cet outil fournis une enveloppe pour certains types de création d'environnement de test de capabilities. Il fournis également des fonctionnalités de débuggage utile.

OPTIONS

--print Affiche les capablities en vigueur et l'état lié.
-- [args] Exécute /bin/bash avec les arguments restants.
== Exécute capsh avec les arguments restant. Utile pour tester le comportement de exec()
--caps=cap-set Définis les capabilities du processus.
--drop=cap-list Supprime les capabilities listées. Utiliser cette fonctionnalité nécessite que capsh ait CAP_SETPCAP
--inh=cap-list Définis le jeu héritable de capabilities pour le processus courant égal à ceux fournis.
--user=username Assume l'identité de l'utilisateur nommé.
--uid=id Force toutes les valeurs UID à l'id spécifié en utilisant setuid(2)
--gid=id Force toutes les valeurs GID à l'id spécifié en utilisant setgid(2)
--groups=id-list Définis les groupes supplémentaires
--keep=‹ 0|1 › En mode non pure capabilities, le kernel fournis un privilège libéral au super-user. Cependant, c'est normalement le cat quand le super-user change l'uid d'utilisateurs, puis supprime les capabilities. Dans ces situations, le kernel peut permettre au processus de conserver ses capabilities après un appel système setuid(2). Cette fonctionnalité s'appel keep-caps. Définir la valeur 2 active le keep-caps. keep-caps est toujours désactivé avec un exec().
--secbits=N
--chroot=path Exécute l'appel système chroot(2). Nécessite CAP_SHS_CHROOT.
--forkfor=sec
--killit=sig
--decode=N Fournis une manière rapide de décoder un vecteur de capability représenté sous la forme trouvée dans /proc/1/status.
--supports=xxx À mesure que le kernel évolue, des capabilities sont ajoutées. Cette options peut être utilisée pour vérifier l'existence d'une capability dans le système. un code de sortie de 0 indique que la capability est supportée.