Sul mio notebook (Linux Mint 19.3) trovo pochi casi:
diego@dm-nb2:~$ sudo getcap -r /usr/bin/ /usr/bin/mtr-packet = cap_net_raw+ep /usr/bin/gnome-keyring-daemon = cap_ipc_lock+ep
diego --------------------------------------- Diego Maniacco, Bolzano (Italy) diego.maniacco@gmail.com ---------------------------------------
[image: Not f'd — you won't find me on Facebook] https://www.fsf.org/fb Not f'd — you won't find me on Facebook
On Wed, 26 Feb 2020 at 09:03, Diego Maniacco diego.maniacco@gmail.com wrote:
Interessante ma complesso. trovo: https://linux.die.net/man/3/cap_get_file
Diego Maniacco, Bolzano (Italy) diego.maniacco@gmail.com
[image: Not f'd — you won't find me on Facebook] https://www.fsf.org/fb Not f'd — you won't find me on Facebook
On Wed, 26 Feb 2020 at 08:39, Thomas Pircher thp+lugbz@p5r.uk wrote:
Chris Mair wrote:
mi pare interessante poter dare questa capabiliy CAP_NET_BIND_SERVICE che citi, piuttosto di grezzamante dare setuid root all'eseguibile rischiando che faccia danni.
Un altro esempio concreto è il ping, che ha bisogno di creare un raw socket per mandare pacchetti icmp. In passato questo programma doveva essere setuid, ma adesso usa le capabilities sotto Linux:
root@grumpel:~# getcap /usr/bin/ping /usr/bin/ping = cap_net_raw+ep
Altri esempi sono wireshark, tcpdump etc.
Thomas _______________________________________________ http://lists.lugbz.org/cgi-bin/mailman/listinfo/lugbz-list