例如,假设您想要设置/usr/bin/example程序具有网络访问的能力,可以使用以下命令: sudo setcap cap_net_admin+eip /usr/bin/example 复制代码 确认权限已经成功设置。您可以使用getcap命令来验证程序的权限设置,例如: getcap /usr/bin/example 复制代码 如果您需要删除程序的权限设置,可以使用以下命令: sudo setcap ...
我们将CAP_NET_ADMIN授权给iptables程序,注意我们也要将CAP_NET_RAW授权给iptables,CAP_NET_RAW我们后面再解释,如下: setcap cap_net_admin,cap_net_raw=eip /sbin/iptables-multi 此时就可以用普通用户来管理防火墙了,如下: /sbin/iptables -A INPUT -p tcp -j ACCEPT /sbin/iptables -L -n Chain INPUT (...
原创-setcap命令支持普通用户开启1000以下端口应用 sudo setcap cap_net_bind_service=+eip 绝对路径的应用程序地址 分类: CENTOS 好文要顶 关注我 收藏该文 微信分享 Normanlin 粉丝- 7 关注- 0 +加关注 0 0 升级成为会员 « 上一篇: 原创-配置免密登录交互 » 下一篇: NGINX日志割切 posted @ 20...
1)cap_chown=eip是将chown的能力以cap_effective(e),cap_inheritable(i),cap_permitted(p)三种位图的方式授权给相关的程序文件. 2)如果改变文件名,则能力保留到新文件. 3)用setcap -r /bin/chown可以删除掉文件的能力. 4)重新用setcap授权将覆盖之前的能力. 六)CAP_DAC_OVERRIDE 1(忽略对文件的所有DAC访问...
# setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/sbin/dumpcap 那么setcap 是个啥玩意呢? 从前,要使被普通用户执行的某个程序有特殊权限,一般我们会给这个程序设置suid,于是普通用户执行该程序时就会以root的身份来执行。 比如,/usr/bin/passwd 这个可执行文件就带有suid,普通用户执行它时会以root身份执行...
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 完成。 可以使用 getcap /usr/bin/dumpcap验证,输出应当是:/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip 实例说明1:非root用户对小于1024端口的提权 对于编译安装的nginx,路径/tmp/nginx ...
chmod 4750 /usr/bin/dumpcap 3.赋予权限。 setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 完成。 可以使用 getcap /usr/bin/dumpcap验证,输出应当是:/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip 现在就可以从自己的普通用户启动Wireshark抓包了...
/sbin/ip cap_net_admin=eip ~ $ /sbin/ip addr add 10.10.10.10/32 dev lo RTNETLINK answers: Operation not permitted The/sbin/iphas cap_net_admin=eip and this works on earlier version. We have a requirement on non-root containers but we must use theipcommand in multi-network setups. ...
Hi, I had to set capability, for it to make it work without sudo. just it posting it here for reference. sudo setcap CAP_SYS_PTRACE=+eip sekirofpsunlock
Linux是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户–root。