table of contents
SETPRIV(1) | Dienstprogramme für Benutzer | SETPRIV(1) |
BEZEICHNUNG¶
setpriv - ein Programm mit anderen Linux-Berechtigungseinstellungen ausführen
ÜBERSICHT¶
setpriv [Optionen] Programm [Argumente]
BESCHREIBUNG¶
Legt die verschiedenen über execve(2) vererbten Linux-Berechtigungseinstellungen fest oder fragt diese ab.
Im Vergleich zu su(1) und runuser(1) verwendet setpriv weder PAM, noch bittet es um die Eingabe eines Passworts. Es ist ein einfacher Wrapper für execve(2), der keine Benutzerkennung setzt und zum Abgeben von Privilegien auf die gleiche Art wie setuidgid(8) aus daemontools, chpst(8) aus runit oder ähnlichen Werkzeugen, die von anderen Diensteverwaltern ausgeliefert werden, verwendet werden kann.
OPTIONEN¶
--clear-groups
-d, --dump
--groups Gruppe...
--inh-caps (+|-)Cap..., --ambient-caps (+|-)Cap..., --bounding-set (+|-)Cap...
Die Gruppe der Capabilities ist anfänglich der als der aktuell vererbbare Satz für --inh-caps, der aktuelle Umgebungs-Satz für --ambient-caps und die aktuelle Begrenzungsmenge für --bounding-set.
Beachten Sie die folgenden Einschränkungen (detailliert in capabilities(7) beschrieben) hinsichtlich der Änderungen an diesen Capability-Gruppen:
Falls Sie eine Capability aus dem Umgebungssatz entfernen, ohne sie auch aus dem vererbbaren Satz zu entfernen, kommen Sie wahrscheinlich durcheinander. Tun Sie das besser nicht.
--keep-groups
--init-groups
--list-caps
--no-new-privs
Das Bit no_new_privs wird seit Linux 3.5 unterstützt.
--rgid GID, --egid GID, --regid GID
Aus Sicherheitsgründen müssen Sie eine der Optionen --clear-groups, --groups, --keep-groups oder --init-groups angeben, wenn Sie eine primäre Gruppenkennung setzen.
--ruid Benutzerkennung, --euid Benutzerkennung, --reuid Benutzerkennung
Das Setzen einer Benutzerkennung oder Gruppenkennung ändert keine Capabilities, obwohl der Exec-Aufruf doch Capabilities ändern könnte. Das bedeutet, dass Sie mit Root-Rechten vielleicht Folgendes tun wollen:
setpriv --reuid=1000 --regid=1000 --inh-caps=-all
--securebits (+|-)Sicherheitsbit...
--pdeathsig keep|clear|<Signal>
--selinux-label Label
--apparmor-profile Profil
--landlock-access Zugriff
Alle Dateisystemzugriffe blockieren:
setpriv --landlock-access Dateisystem
Löschen von Dateien und Anlegen von Verzeichnissen blockieren:
setpriv --landlock-access Dateisystem
Eine vollständige Liste aller unterstützten Zugriffskategorien wird mit dem Befehl setpriv --help angezeigt.
--landlock-rule Regel
Die Syntax ist wie folgt:
--landlock-rule $Regeltyp:$Zugriff:$Regelargument
Beispiel für die Gewährung des Lesezugriffs auf alles unter /boot:
--landlock-rule path-beneath:read-file:/boot
--reset-env
Die Umgebungsvariable PATH kann auf Systemen anders sein, auf denen /bin und /sbin in /usr zusammengeführt sind. Die Umgebungsvariable SHELL ist standardmäßig /bin/sh, sofern im Passworteintrag des Benutzers nichts angegeben ist.
-h, --help
-V, --version
ANMERKUNGEN¶
Falls irgendeine der angegeben Optionen fehlschlägt, wird das Programm nicht ausgeführt und setpriv gibt den Exit-Status 127 zurück.
Seien Sie vorsichtig mit diesem Werkzeug – es könnte unerwartete Folgen für die Sicherheit haben. Wenn Sie beispielsweise no_new_privs setzen und dann ein Programm ausführen, das durch SELinux eingeschränkt wird (wie es dieses Werkzeug machen würde), könnte das die SELinux-Einschränkungen wirkungslos machen.
BEISPIELE¶
Wenn Sie ein Verhalten wünschen, das ähnlich zu su(1)/runuser(1) oder sudo(8) (ohne die Option -g) ist, versuchen Sie Folgendes:
setpriv --reuid=1000 --regid=1000 --init-groups
Wenn Sie das Verhalten von setuid(8) aus Daemontools nachbilden wollen, versuchen Sie:
setpriv --reuid=1000 --regid=1000 --clear-groups
AUTOREN¶
Andy Lutomirski <luto@amacapital.net>
SIEHE AUCH¶
FEHLER MELDEN¶
Nutzen Sie zum Melden von Fehlern das Fehlererfassungssystem auf <https://github.com/util-linux/util-linux/issues>.
VERFÜGBARKEIT¶
Der Befehl setpriv ist Teil des Pakets util-linux, welches aus dem Linux-Kernel-Archiv <https://www.kernel.org/pub/linux/utils/util-linux/> heruntergeladen werden kann.
2024-10-01 | util-linux 2.40.2 |