- bookworm 4.18.1-1
SETPRIV(1) | Dienstprogramme für Benutzer | SETPRIV(1) |
BEZEICHNUNG¶
setpriv - ein Programm mit anderen Linux-Berechtigungseinstellungen ausführen
ÜBERSICHT¶
setpriv [Optionen] Programm [Argumente]
BESCHREIBUNG¶
Legt die verschiedenen über execve(2) vererbten Linux-Berechtigungseinstellungen fest oder fragt diese ab.
Im Vergleich zu su(1) und runuser(1) verwendet setpriv weder PAM, noch bittet es um die Eingabe eines Passworts. Es ist ein einfacher Wrapper für execve(2), der keine Benutzerkennung setzt und zum Abgeben von Privilegien auf die gleiche Art wie setuidgid(8) aus daemontools, chpst(8) aus runit oder ähnlichen Werkzeugen, die von anderen Diensteverwaltern ausgeliefert werden, verwendet werden kann.
OPTIONEN¶
--clear-groups
-d, --dump
--groups Gruppe …
--inh-caps (+|-)Cap …, --ambient-caps (+|-)Cap …, --bounding-set (+|-)Cap …
Die Gruppe der Capabilities ist anfänglich der als der aktuell vererbbare Satz für --inh-caps, der aktuelle Umgebungs-Satz für --ambient-caps und die aktuelle Begrenzungsmenge für --bounding-set.
Beachten Sie die folgenden Einschränkungen (datailliert in capabilities(7) beschrieben) hinsichtlich der Änderungen an diesen Capability-Gruppen:
Falls Sie eine Capability aus dem Umgebungssatz entfernen, ohne sie auch aus dem vererbbaren Satz zu entfernen, kommen Sie wahrscheinlich durcheinander. Tun Sie das besser nicht.
--keep-groups
--init-groups
--list-caps
--no-new-privs
Das Bit no_new_privs wird seit Linux 3.5 unterstützt.
--rgid GID, --egid GID, --regid GID
Aus Sicherheitsgründen müssen Sie eine der Optionen --clear-groups, --groups, --keep-groups oder --init-groups angeben, wenn Sie eine primäre GID setzen.
--ruid UID, --euid UID, --reuid UID
Das Setzen einer UID oder GID ändert keine Capabilities, obwohl der Exec-Aufruf doch Capabilities ändern könnte. Das bedeutet, dass Sie mit Root-Rechten vielleicht Folgendes tun wollen:
setpriv --reuid=1000 --regid=1000 --inh-caps=-all
--securebits (+|-)Sicherheitsbit …
--pdeathsig keep|clear|<Signal>
--selinux-label Label
--apparmor-profile Profil
--reset-env
Die Umgebungsvariable PATH kann auf Systemen anders sein, auf denen /bin und /sbin in /usr zusammengeführt sind. Die Umgebungsvariable SHELL ist standardmäßig /bin/sh, sofern im Passworteintrag des Benutzers nichts angegeben ist.
-h, --help
-V, --version
ANMERKUNGEN¶
Falls irgendeine der angegeben Optionen fehlschlägt, wird das Programm nicht ausgeführt und setpriv gibt den Exit-Status 127 zurück.
Seien Sie vorsichtig mit diesem Werkzeug – es könnte unerwartete Folgen für die Sicherheit haben. Wenn Sie beispielsweise no_new_privs setzen und dann ein Programm ausführen, das durch SELinux eingeschränkt wird (wie es dieses Werkzeug machen würde), könnte das die SELinux-Einschränkungen wirkungslos machen.
BEISPIELE¶
Wenn Sie ein Verhalten wünschen, das ähnlich zu su(1)/runuser(1) oder sudo(8) (ohne die Option -g) ist, versuchen Sie Folgendes:
setpriv --reuid=1000 --regid=1000 --init-groups
Wenn Sie das Verhalten von setuid(8) aus Daemontools nachbilden wollen, versuchen Sie:
setpriv --reuid=1000 --regid=1000 --clear-groups
AUTOREN¶
Andy Lutomirski <luto@amacapital.net>
SIEHE AUCH¶
runuser(1), su(1), prctl(2), capabilities(7)
FEHLER MELDEN¶
Verwenden Sie zum Melden von Fehlern das Fehlererfassungssystem auf <https://github.com/util-linux/util-linux/issues>.
VERFÜGBARKEIT¶
Der Befehl setpriv ist Teil des Pakets util-linux, welches heruntergeladen werden kann von: Linux Kernel Archive <https://www.kernel.org/pub/linux/utils/util-linux/>.
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Mario Blättermann <mario.blaettermann@gmail.com> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
11. Mai 2022 | util-linux 2.38.1 |