ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [PATCH 2/2] Setting more capabilities(CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH and CAP_SETUID).


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: [PATCH 2/2] Setting more capabilities(CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH and CAP_SETUID).
  • From: Andrei Nigmatulin <andrei.nigmatulin@xxxxxxxxx>
  • Date: Fri, 20 Mar 2009 12:48:02 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:from:to:subject:date :user-agent:references:in-reply-to:mime-version:content-type :content-transfer-encoding:content-disposition:message-id; bh=dP4FcwhUsFsKVw/uVNsyULhAWhUeIK5q+L1ienJd1Rc=; b=trkpeU7lI0Q9oWo7KStlx2UbjMCxDeA8vXkkewx80t4onuKgozSNfQrxn6QrM7xYwJ /3+/An3puuoUL+VWP2yHxk7Vx13TPm69LKwrUju4Mi+hHcnFcqDXRnfW62lrXXGWHQ3U Bz9pB1a2t2MXGRmx+ZuKpdl+BJ2jNaZg/83hU=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=from:to:subject:date:user-agent:references:in-reply-to:mime-version :content-type:content-transfer-encoding:content-disposition :message-id; b=L31KkN9jWd9YMaSjJgvkNbCYOVAryVNzLqcj2gxYo+zYbl0IqiBsmaw5MgIeKe00On RGRks14fgT8PC8Hkwb840kpPdsSk05TAV247ygzXuirSKw2ikti/QOB0H7UK3tzl7Cch jl35Pngw3iHPhYU667JCMoxnL4HqrbLC+8U4M=
  • In-reply-to: <20090320091118.GH72589@xxxxxxxxxxxxx>
  • References: <1237325807-4161-1-git-send-email-catap+nginx@xxxxxxxx> <49C3429E.4070001@xxxxxxxxxx> <20090320091118.GH72589@xxxxxxxxxxxxx>

On Friday 20 March 2009 12:11, Igor Sysoev wrote:
> имеет смысл разрешать только CAP_NET_BIND_SERVICE, потому что, насколько
> я понимаю, разрешение CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH и CAP_CHOWN
> по сути разрешают делать процессу с файловой системой всё, что угодно
> и мало чем отличается от рута. То есть, нужно делать директиву что-то
> вроде:
>
> use_bind_capability;
>
> которая бы разрешала только CAP_NET_BIND_SERVICE. В этом случае админ
> должен сам позабодиться о файлах и прочая: он имеет мастера, работающего
> под обычнм пользователем с возможностью bind'иться к 80 порту.

А лог файлы переоткрывать хватит прав ?


-- 
Andrei Nigmatulin
GPG PUB KEY 6449830D

Now I lay me down to sleep(3)
Pray the OS my core to keep
If I die before I wake
Pray the Disk my core to take


 




Copyright © Lexa Software, 1996-2009.