通过pam_cap配置特权失效的原因

最新推荐文章于 2024-12-02 10:32:50 发布
原创 最新推荐文章于 2024-12-02 10:32:50 发布 · 399 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux #特权权限 #pam_cap #失效 #传递 #传播 #子进程

本文讨论了PAMpam_cap配置的注意事项,特别是非root权限下如何设置可继承的权限,以及为何一些服务如su提前返回导致配置无效。还提到了libcap版本对特性支持的影响和使用ambientset进行特权传递的方法。

缘由

阅读官网上对于pam_cap介绍的用户特权配置,如果不特别注意官网介绍中的几个关键词,通常配置后并不起效。

而这段对于非root的运行的特权设定与传递、传播的研究,均来自于这个疑问,所以,想再深入谈谈这个问题,而非蜻蜓点水。

官网配置说明

# /etc/security/capability.conf配置pam_cap作用的相关用户

# Simple
cap_sys_ptrace               developer
cap_net_raw                  user1

# Multiple capablities
cap_net_admin,cap_net_raw    jrnetadmin
# Identical, but with numeric values
12,13                        jrnetadmin
...

服务相关程序在PAM中配置启用pam_cap

借助其它已有程序完成启动

Nearly all applications/daemons which use PAM for authentication contain a configuration line:
@include common-auth.

最低0.47元/天 解锁文章
Linux系统面临的攻击、风险及其安全加固和维护策略(附下载)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-23 4289
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAMLinux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限
wazuh
Devotedakura的博客
08-20 2818
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
linux pam 配置
techtitan的专栏
03-01 1010
use_authtok 表示使用之前的cracklib.so的密码认证,/etc/pam.d/system_auth 中就因为这项没有配置,导致系统验证密码时 retry 多了一次。
基于PAM的用户权能分配
qq_30576521的博客
03-17 527
操作系统安全实验——基于PAM的用户权能分配。文章分别介绍了权能、PAM以及如何将权能与PAM联系起来。
Linux非root用户运行服务实践
一把菜刀行江湖
11-03 1321
非root用户运行给出部署方案,对于部署中需要特权设定的场景,给出了基于setcap方式的方案,综合来看,类似docker运行模式的环境特权传递,还是非常不错的
linux setcap命令详解(包括各个cap的使用举例)
xdy762024688的博客
08-11 3249
1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。
串口访问被拒?彻底解决_dev_ttyUSB0权限问题的5种可靠方法(Linux开发者必备)
串口通信是嵌入式开发、物联网设备调试中的基础手段,Linux系统通过`/dev/ttyUSB0`等设备文件抽象硬件接口。然而,开发者常遭遇“Permission denied”错误,根源在于设备文件的访问权限受限。默认情况下,这些设备仅...
Linux命令
热门推荐
weixin_44265425的博客
06-14 25万+
Linux 学习笔记 LINUX常用操作命令和命令行编辑快捷键 终端快捷键: Ctrl + a/Home 切换到命令行开始 Ctrl + e/End 切换到命令行末尾 Ctrl + l 清除屏幕内容,效果等同于 clear Ctrl + u 清除剪切光标之前的内容 Ctrl + k 剪切清除光标之后的内容 Ctrl + y 粘贴刚才所删除的字符 Ctrl + r 在历史命令中查找 (这个非常好用,输入关键字就调出以前的命令了) Ctrl + c 终止命令 ctrl + o 重复执行命令 Ctrl + d 退
Linux学习笔记:sudo、tcp_wrapper、pam
weixin_34290631的博客
04-06 197
一、sudo授权工具授权工具;能够实现把有限的管理操作授权给某普通用户;且还能限定其仅能够在某些主机上执行此类的命令;操作过程还会被记录与日志中;以便于日后审计。1、定义sudo授权;保存/etc/sudoersvisudo:编辑sudoers命令格式:who which_host=(whom) command添加删除用户[root@localhost ~]# visudo ...
认证服务架构
黑色幽默的专栏
01-04 600
认证服务架构 背景 Linux 默认使用 PAM 作为认证框架,通过模块的方式添加不同的认证方式。但这种方式对于多路认证、多因子认证等方式支持困难,并且也不便于适配新的认证方式。 基于用户体验和适配的需要, UOS 设计并实现了一套认证服务,认证服务依然基于 PAM ,但在认证方式的添加上设计了新的规范。 设计的原则如下: 提供认证方案接入规范,便于适配 支持多路认证,增强用户体验 支持多因子认证,增强安全性 基于 =PAM= 框架,应用无需修改 架构 UOS 的认证服务架构如下: 流程 应用依然
UOS统信服务器安全策略
Aall_Izz_well的博客
07-04 6989
一. 密码加固 执行命令前需要下载一个安装包,在统信系统上安装libpam-pwquality软件包 //执行该命令,开始安装libpam-pwquality软件包 sudo apt-get -y install libpam-pwquality cracklib-runtime 修改配置文件,根据密码的要求设置相应的参数 // 执行该命令,修改参数 sudo vim /etc/pam.d/common-password //将第25行的文本进行修改,修改前的文本 password req
UOS被锁定
weixin_42553298的博客
03-11 1万+
UOS被锁定
LinuxPAM模块学习总结
wo4owen的博客
09-30 1243
转载于: https://www.cnblogs.com/kevingrace/p/8671964.html 如有侵权请联系删除 LinuxPAM模块学习总结 在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大.
ubuntu20以上配置登录失败处理
最新发布
qq_48257021的博客
12-02 716
【代码】ubuntu20以上配置登录失败处理。
Linuxpam模块详解
Linux知识积累
07-24 1万+
pam简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就...
Linuxcapability深入分析(2)
wangpengqi的专栏
08-07 1万+
一)capability的工具介绍 在我们的试验环境是RHEL6,libcap-2.16软件包中包含了相关的capability设置及查看工作,如下: rpm -ql libcap-2.16-5.2.el6.i686  /lib/libcap.so.2 /lib/libcap.so.2.16 /lib/security/pam_cap.so
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2333
Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
CentOS使用pam_radius配置ssh通过radius服务器认证
解压并进入目录,然后编译安装,生成`pam_radius_auth.so`库文件,并将其放置到正确的路径。 2. 配置RADIUS服务器信息:编辑`/etc/raddb/server`文件,输入RADIUS服务器的IP、共享密钥和超时时间。 3. 更新PAM配置:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值