eBPFプログラムからカーネルスタックトレースを取得すると、重複して奇妙なエントリが表示されます。誰かがこれを説明できますか? まず、関連するeBPFプログラムの断片から始めましょう。次のようにスタックトレースグラフを宣言します。 struct { __uint(type, BPF_MAP_TYPE_STACK_TRACE); __type(key, u32); __type(value, stack); __uint(max_entries, 1 << 14); } stacks SEC(".maps"); 後...
このコマンドは次のとおりです。 sudo chown -R root:root directory SUIDビットを削除し、すべての機能をリセットします。文書。なぜ自動的に実行され、マニュアルページに言及されていないのだろうか。奇妙なことは、GUIDビットが削除されないことです。このコマンドを実行する前に、ファイルまたはディレクトリが誰に属しているかは重要ではありません。 SUID/GUIDビット図いいえ削除済み目次(この場合は役に立たないと思います)。 おそらくこれは安全という名前で行われたことだが、私には静かに行ってはならないことだ。 状況はさらに悪化...
私は基本的にrootユーザーを持つ組み込みシステムデバイスを開発しています。call.serviceルートアクセスで正しく機能するシステムサービスがあります。サービスはデフォルトでいくつかのソケットを作成し、ネットワークデバイスと対話します。 UserAこのサービスをユーザーに開始し、net_raw同じ機能を提供したいと思いますnet_admin。以下のユニットファイルを作成しました。 file: /etc/systemd/system/multi-user.target.wants/call.service [Unit] Description=XXX ...
質問 私はコンテナセキュリティの分野でインターンとして働いており、最近いくつかのテストを実行するためにセキュリティ上の問題があるコンテナを構築する必要がありました。これは私のドッカーファイルです FROM dockerfiles/centos-lamp WORKDIR /var/www/html RUN wget https://github.com/RandomStorm/DVWA/archive/v1.0.8.tar.gz -O- | tar xvz --strip-components=1 RUN service mysqld start &&...
Dockerコンテナの機能と権限を探していますが、「AUDIT_WRITE」、「KILL」、「SETFCAP」、および「SETPCAP」機能を削除すると、どのような影響があるのか疑問に思います。 Dockerコンテナでこれらの機能が基本的に実行できることを明確に説明できる人はいますか?勇気が廃棄されると、どのような特定の作業が制限または影響を受ける可能性がありますか?これらの機能を削除した後に存在するかどうかに比べて変更されるシナリオをお知らせいただきありがとうございます。 ...
私は現在AppArmorの機能を理解しようとしています。/bin/pingAppArmor設定ファイルをコピーして生成できる例を見つけました。 /bin/pingまず、機能を設定するための指示をコピーして従いましたnet_raw。permittedeffective sudo cp /bin/ping /bin/fake_ping sudo setcap cap_net_raw+ep /bin/fake_ping その後、AppArmor設定ファイルを作成しました。 sudo aa-genprof /bin/fake_ping AppArmor プロフ...
私はaws eks 1.26内でポッドを実行しています。アクションを介してaws efsをマウントする必要がありますがkubectl exec、PODが特権コンテナで起動されない場合は失敗します。 mountaws eks内で実行されるコンテナがaws efsをマウントするコマンドを実行するにはどのような権限が必要ですか? この構成は有効です。 securityContext: privileged: true allowPrivilegeEscalation: true この構成は失敗しました securityContext: allowPr...
非rootユーザーがTUN / TAPインターフェースを生成できるようにする必要がある状況に直面しました。 CAP_NET_ADMIN機能が必要であることを知っています。 があったその他の問題これに対する答えはCAP_NET_ADMIN機能です文書/プログラム、ユーザーではありません。私の場合は、次に機能を割り当てる必要があります。ユーザー、インターフェイスを作成するのに適していると判断されたすべてのツールを使用できます(つまり、インターフェイスを生成するために使用される特定のファイル/プログラムに限定されません)。 Linuxでこれは可能ですか?特にUbu...
docker run --rm --cap-drop=net_bind_service --publish 8080:80 --name nginx nginx ps --forest -fC nginx UID PID PPID C STIME TTY TIME CMD root 449870 449847 0 12:38 ? 00:00:00 nginx: master process nginx -g daemon off; 101 449929 449870 0...
3年前、私はプログラムのCAP_NET_RAW機能を操作するプログラムを作成しました。 AMBIENT機能セットを使用しました。 しかし、現在はcap-ng.hにCAPNG_SELECT_AMBIENTが存在しなくなったため、実際のDebianディストリビューション(カーネル5.10)で私のプログラムをコンパイルすることはできません。 新しい定数が登場しました:CAPNG_SELECT_BOTH CAPNG_SELECT_AMBIENTで何が起こっているのか説明できますか? ありがとうございます! ...
どのオペレーティングシステムが実装されているかを知っていますか?能力(つまり、Posix 1e)? 互換性がありますか? この機能はLinuxの移植性を低下させますか? ...
BusyboxベースのLinuxシステムでrootユーザーとしてアクセスできる場合は、使用方法特定の制限付きLinuxセット能力(7)ビジボックス以外に他のツールは必要ありませんか? ...
nginx、redis、および他のサービスと一緒にWebアプリケーションを実行しているいくつかのサーバーがあります。これらのシステムを管理するためにシステム管理者にこれらのサーバーへのアクセスを許可したいが、アプリケーションのパスワード(データベースパスワードなど)とコード(パスワードを報告するためにコードを変更できないよう)を含むディレクトリへのアクセスを拒否したい。 )。実際、管理システムへのアクセス権を与え、データへのアクセスを拒否したいと思います。 可能ですか? Linux機能を使用する必要があると思いますが、方法がわかりません。 安全ですか?セキュ...
ただ行うよりもCLONE_NEWUSER細かい方法でアクティブにするにはどうすればよいですかkernel.unprivileged_userns_clone? 非ルートやBPFなどの新しい複雑な機能を無効にし、特定のプログラムでそれを使用することを選択的に許可して、CAP_SYS_ADMINカーネルAPI攻撃サーフェスを管理可能に保ちたいと思います。 たとえば、or suid-rootが正常に動作したいのchrome-sandboxですCLOSE_NEWUSERが、すべてのプログラムがそのような複雑なトリックを使用できるとは思わず、いくつかの承認されたプログ...
通常、Unix(または特にLinux)プログラムは、ICMP_ECHO("ping")を使用してルータのアクセシビリティを確認するなどの操作を実行できません。誰でもスーパーユーザーとして実行またはsetuid ルートまたは適切なPOSIX機能を備えている必要があります。明らかに、setuidまたはPOSIX機能をバイナリに適用するには、すべてのオペレーティングシステムにスーパーユーザー介入が必要です。 開発環境にCAP_SETFCAP機能がある場合は、少なくともローカル操作に関する限り、ビルドするプログラムに適切なPOSIX機能を設定できる必要があります。 ...