On Tue, Jun 13, 2006 at 11:22:53PM +0400, Alexey Tourbin wrote:
> On Tue, Jun 13, 2006 at 07:30:11PM +0400, Alexey Tourbin wrote:
> > В общем есть типовая задача: рут хочет запускать скрипты
> > с пониженными привилегями (от псевдопользователя), но с некоторыми
> > рутовыми capabilities.
> 
> > suexeccap -u $uid -g $gid -c $cap -- qa-robot -m root@localhost psec /lib /usr/lib
> 
> Нарисовал то, что хотел нарисовать.  Странное дело -- не работает!
> Я кажется плохо понял, как при exec'е наследуются capabilities.
> Кто-нибудь может объяснить?

Я могу объяснить, хотя проще RTFS.
> 
> 	if (setgroups(0, NULL) < 0) error(EXIT_FAILURE, 1, "setgroups");
> 	if (setregid(gid, gid) < 0) error(EXIT_FAILURE, 1, "setregid");
> 	if (prctl(PR_SET_KEEPCAPS, 1) < 0) error(EXIT_FAILURE, 1, "prctl");

PR_SET_KEEPCAPS используется для того, чтобы ...

> 	if (cap_set_proc(suidcaps) < 0) error(EXIT_FAILURE, 1, "cap_set_proc");
> 	if (setreuid(uid, uid) < 0) error(EXIT_FAILURE, 1, "setreuid");

... после setreuid capabilities не были выставлены согласно *uid, см.
cap_emulate_setxuid().

> 	if (cap_set_proc(caps) < 0) error(EXIT_FAILURE, 1, "cap_set_proc");
> 
> 	execvp(argv[optind], argv + optind);

При выполнении exeс все capabilities выставляются заново согласно *uid,
см. cap_bprm_set_security(), и раньше на это повлиять было нельзя.
Пусть ядерщики меня поправят, если в этой сфере что-то изменилось.


-- 
ldv