cap_net_admin是其中一种capabilities,它允许进程进行网络配置和管理操作。这意味着进程可以执行类似于设置网络接口的IP地址、启用或禁用网络接口、配置防火墙规则等网络相关的操作。在一般情况下,普通用户是没有cap_net_admin权限的,只有root用户或者具有相应capabilities的用户才能执行这些操作。 使用cap_net_admin权限可以...
系统根据进程的 cap_effective 能力集进行访问控制,cap_effective 为 cap_permitted 的子集,进程可以通过取消 cap_effective 中的某些能力来放弃进程的一些特权。 3. 可执行文件也拥有三组能力集,对应于进程的三组能力集,分别称为cap_effective, cap_allowed, cap_forced,分别简记为fE fI fP,其中: (1) cap_allo...
1. CAP_NET_ADMIN: 允许对网络配置进行修改。 2. CAP_SYS_ADMIN: 允许执行系统管理任务,如加载模块、挂载文件系统等。 3. CAP_SYS_PTRACE: 允许跟踪进程和检查其内存。 4. CAP_DAC_OVERRIDE: 允许忽略文件权限检查。 通过分配这些capabilities,可以在不牺牲系统安全性的前提下允许用户或者程序执行特定的操作。例...
CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等 CAP_SYS_BOOT:允许重新启动系统 CAP_SYS_NICE:允许提升优先级及设置其他进程的优先级 CAP_SYS_RESOURCE:忽略资源限制 CAP_SYS_TIME:允许改变系统时钟 CAP_SYS_TTY_CONFIG:允许配置TTY设备 CAP_MKNOD:允许使用mknod()系统调用 CAP_LEASE:...
CAP_NET_BIND_SERVICE:允许绑定到小于1024的端口 CAP_NET_BROADCAST:允许网络广播和多播访问 CAP_NET_ADMIN:允许执行网络管理任务 CAP_NET_RAW:允许使用原始套接字 CAP_IPC_LOCK:允许锁定共享内存片段 CAP_IPC_OWNER:忽略IPC所有权检查 CAP_SYS_MODULE:允许插入和删除内核模块 ...
setcap可以设置程序文件的能力(CAP). 我们下面主要用setcap来进行调试. 二)CAP_CHOWN 0(允许改变文件的所有权) 授权普通用户可以用/bin/chown程序更改任意文件的owner,如下: setcap cap_chown=eip /bin/chown 查看/bin/chown程序的能力值,如下: getcap /bin/chown ...
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+ep 如上,可以看到dumpcap有cap_net_raw文件能力。或许你知道只要线程有cap_net_raw能力,就可以用socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL))创建socket来抓包。 所以可以猜测dumpcap也是用AF_PACKET socket抓包的,于是我想执行strace dumpcap看一下系统调用中...
CAPNETADMIN 允许执行网络管理任务 CAPNETBIND_SERVICE 允许绑定到小于 1024 的端口 CAPNETBROADCAST 允许网络广播和多播访问 CAPNETRAW 允许使用原始套接字 CAP_SETGID 允许改变进程的 GID CAP_SETFCAP 允许为文件设置任意的 capabilities CAP_SETPCAP 参考capabilities man page CAP_SETUID 允许改变进程的 UID CAPSYSA...
运行一个配置增加了CAP_NET_ADMIN和CAP_SYS_TIME功能的Pod: cat <<EOF kubectl apply -f - apiVersion: v1 kind: Pod metadata: name: security-context-demo-4 spec: containers: - name: sec-ctx-4 image: centos:7 command: ["tail","-f", "/dev/null"] ...
Current:=Boundingset=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_...