Statiskā tīkla un IPv6 konfigurēšana operētājsistēmā CentOS 7
VULTR nesen veica izmaiņas, un tagad visam vajadzētu darboties labi, ja ir iespējots NetworkManager. Ja vēlaties atspējot
Darbs ar Linux iespējām
Ievads
Linux iespējas ir īpaši atribūti Linux kodolā, kas piešķir procesiem un binārajiem izpildāmajiem failiem īpašas privilēģijas, kas parasti ir rezervētas procesiem, kuru efektīvais lietotāja ID ir 0 (saknes lietotājam un tikai saknes lietotājam ir UID 0).
Šajā rakstā ir izskaidrotas dažas pieejamās iespējas, to lietojums un to iestatīšana un noņemšana. Lūdzu, ņemiet vērā, ka izpildāmo failu iespēju iestatīšana var apdraudēt jūsu sistēmas drošību. Tāpēc pirms iespēju ieviešanas ražošanā apsveriet iespēju testēt ar ražošanu nesaistītu sistēmu.
Priekšnoteikumi
- Linux sistēma, kurai jums ir root piekļuve (izmantojot root lietotāju vai lietotāju ar sudo piekļuvi).
Paskaidrojums
Būtībā iespēju mērķis ir sadalīt “saknes” spēku īpašās privilēģijās, lai, ja tiek izmantots process vai binārs, kuram ir viena vai vairākas iespējas, iespējamais kaitējums ir ierobežots, salīdzinot ar to pašu procesu, kas darbojas kā root.
Iespējas var iestatīt procesiem un izpildāmajiem failiem. Process, kas rodas faila izpildes rezultātā, var iegūt šī faila iespējas.
Operētājsistēmā Linux ieviestās iespējas ir daudzas, un daudzas ir pievienotas kopš sākotnējās izlaišanas. Daži no tiem ir šādi:
CAP_CHOWN: veiciet izmaiņas failu lietotāja ID un grupas IDCAP_DAC_OVERRIDE: ignorēt DAC (diskrecionārā piekļuves kontrole). Piemēram, vto apiet lasīšanas/rakstīšanas/izpildīšanas atļaujas pārbaudes.CAP_KILL: apiet atļauju pārbaudes, lai nosūtītu signālus procesiem.CAP_SYS_NICE: Paaugstināt procesu jaukumu ( Skaistuma skaidrojumu var atrast šeit )CAP_SYS_TIME: iestatiet sistēmas un reāllaika aparatūras pulksteni
Lai iegūtu pilnu sarakstu, palaidiet man 7 capabilities.
Iespējas tiek piešķirtas kopās, proti, "atļauts", "mantojams", "efektīvs" un "apkārtējais" pavedieniem un "atļauts", "mantojams" un "efektīvs" failiem. Šīs kopas definē dažādas sarežģītas uzvedības, to pilnīgs skaidrojums ir ārpus šī raksta darbības jomas.
Iestatot failā iespējas, mēs gandrīz vienmēr izmantosim “atļauts” un “efektīvs”, piemēram, CAP_DAC_OVERRIDE+ep. Ievērojiet +ep, kas apzīmē iepriekš minētās kopas.
Darbs ar failu iespējām
Nepieciešamās paketes
Ir divi galvenie instrumenti, getcapun setcapkas var attiecīgi apskatīt un noteikt šos atribūtus.
- Debian un Ubuntu šos rīkus nodrošina
libcap2-binpakotne, kuru var instalēt kopā ar:apt install libcap2-bin - CentOS un Fedora
libcappakotne ir nepieciešama:yum install libcap - Operētājsistēmā Arch Linux tos nodrošina
libcaparī:pacman -S libcap
Lasīšanas iespējas
Lai redzētu, vai failam ir iestatītas iespējas, varat vienkārši palaist getcap /full/path/to/binary, piemēram:
root@demo:~# getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+ep
root@demo:~# getcap /usr/bin/rcp
/usr/bin/rcp = cap_net_bind_service+ep
Ja vēlaties uzzināt, kuras iespējas jau ir iestatītas jūsu sistēmā, varat rekursīvi meklēt visā failu sistēmā, izmantojot šādu komandu:
getcap -r /
Tā kā virtuālās failu sistēmas (piemēram, /proc) neatbalsta šīs darbības, iepriekš minētā komanda radīs tūkstošiem kļūdu, tāpēc tīrākai izvadei izmantojiet:
getcap -r / 2>/dev/null
Iespējas piešķiršana un noņemšana
Lai failā iestatītu noteiktu iespēju, izmantojiet setcap "capability_string" /path/to/file.
Lai no faila noņemtu visas iespējas, izmantojiet setcap -r /path/to/file.
Demonstrēšanai mēs izveidosim tukšu failu pašreizējā direktorijā, piešķirsim tam iespēju un noņemsim to. Sāciet ar sekojošo:
root@demo:~# touch testfile
root@demo:~# getcap testfile
Otrā komanda nerada izvadi, kas nozīmē, ka šim failam nav nekādu iespēju.
Pēc tam iestatiet faila iespēju:
root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep
"CAP_CHOWN+ep" tika izmantots kā piemērs, bet jebkuru citu var piešķirt šādā veidā.
Tagad noņemiet visas iespējas no testfile:
root@demo:~# setcap -r testfile
root@demo:~# getcap testfile
Atkal nebūs izvades, jo "CAP_CHOWN+ep" tika noņemts.
Secinājums
Iespējas var izmantot daudzos veidos, un tās var palīdzēt uzlabot jūsu sistēmu drošību. Ja savos izpildāmajos failos izmantojat SUID bitu, apsveriet iespēju to aizstāt ar īpašu nepieciešamo iespēju.
Docker CE instalēšana Ubuntu 16.04
Vai izmantojat citu sistēmu? Docker ir lietojumprogramma, kas ļauj izvietot programmas, kas tiek darbinātas kā konteineri. Tas tika uzrakstīts populārajā Go programmā
Netīrās govs eksploīta ielāgošana vietnē CentOS
Kas ir netīrā govs (CVE-2016-5195)? Netīrās govs ievainojamība tiek izmantota, izmantojot to, kā Linux apstrādā kodu. Tas ļauj nepievilinātam lietotājam gai
Iestatiet laika joslu un NTP operētājsistēmā Ubuntu 14.04
Vultr serveri var nebūt izvietoti ar jūsu serverī nepieciešamo laika joslu/datumu/laiku. Par laimi mēs varam manuāli iestatīt laika joslu, lai novērstu problēmas
Rust instalēšana Ubuntu 14.04
Rust, plaši pazīstama kā Rust-Lang, ir sistēmas programmēšanas valoda, ko izstrādā Mozilla un atbalsta LLVM. Rūsa ir pazīstama ar programmu novēršanu
Kā instalēt osTicket uz FreeBSD 12
Vai izmantojat citu sistēmu? osTicket ir atvērtā koda klientu atbalsta biļešu sistēma. osTicket pirmkods ir publiski mitināts vietnē Github. Šajā apmācībā
Darbs ar Linux iespējām
Ievads Linux iespējas ir īpaši atribūti Linux kodolā, kas piešķir procesiem un binārajiem izpildāmajiem failiem īpašas privilēģijas, kas ir normālas.
Kā instalēt JuliaLang Ubuntu 17.04
Julia, plaši pazīstama kā JuliaLang, ir programmēšanas valoda skaitliskajai skaitļošanai. Džūlija ir tikpat ātra kā C, taču tas neupurē lasāmību
Augsta pieejamība, izmantojot privāto tīklu Ubuntu 16.04 ar Keepalived
Dažām augstas pieejamības arhitektūrām nepieciešama peldoša IP adrese. Šī funkcionalitāte ir pieejama Vultr platformā, tiklīdz ir izveidots privātais tīkls
Iestatiet tikai SFTP lietotāju kontus Ubuntu 14
Ievads Dažos gadījumos ir nepieciešams izveidot lietotājus ar lasīšanas un rakstīšanas piekļuvi vienam direktorijam, tikai izmantojot FTP. Šis raksts jums parādīs, kā t
Kā iestatīt Node.js pastāvīgās lietojumprogrammas Ubuntu 16.04
Node.js lietojumprogrammas ir populāras to mērogošanas spējas dēļ. Vairāku vienlaicīgu procesu palaišana vairākos serveros nodrošina mazāku latentumu un ilgāku darbības laiku
Kā instalēt SuiteCRM operētājsistēmā Ubuntu 16.04
SuiteCRM ir bezmaksas atvērtā koda alternatīva populārajai klientu attiecību pārvaldības (CRM) sistēmai SugarCRM. Tas kļuva populārs, kad SugarCRM nolēma
Kā instalēt Open Eshop operētājsistēmā Ubuntu 16.04
Open Eshop ir bezmaksas atvērtā koda e-komercijas programmatūra digitālo preču, piemēram, MP3, e-grāmatu, filmu, programmatūras un daudz ko citu, pārdošanai. Šajā apmācībā mēs vēlēsimies
Instalējiet NixOS vietnē Vultr
NixOS ir tīri funkcionāls Linux izplatīšana. To var atrast vietnē nixos.org. Galvenais NixOS izmantošanas iemesls ir tas, ka tas ir pilnībā deklaratīvs, kas padara
Instalējiet Nginx + PHP FPM + Caching + MySQL Ubuntu 12.04
Iespējams, daudzi cilvēki izmantos savus Vultr VPS kā tīmekļa serverus, laba izvēle būtu Nginx kā tīmekļa serveris. Šajā tēmā es aprakstīšu o
Hosts faila izmantošana vietņu pārbaudei
Hosts fails ir īpašs fails jūsu darbstacijas datorā, kurā tiks saglabāta IP un nosaukuma informācija. Šis fails tiek pārbaudīts pirms DNS, tādēļ, ja ievietojat a
Kā instalēt Xubuntu darbvirsmu Vultr serveros, izmantojot Ubuntu 15.10
Xubuntu ir XFCE + Ubuntu! XFCE ir viegla Ubuntu GUI/darbvirsma. Vultr serveriem ir nepieciešamas papildu atkarības, kas pēc noklusējuma nav instalētas
Iestatīšana ļauj šifrēt ar Lighttpd Ubuntu 16.04
Ievads Let's Encrypt ir sertifikācijas iestāde (CA), kas izsniedz bezmaksas SSL/TLS sertifikātus. Lighttpd ir viegls tīmekļa serveris, kas darbojas uz lo
Apache optimizācija zemas klases VPS operētājsistēmā Ubuntu 14.04
Apache ir ļoti viegli instalēt un inicializēt, taču tas ir aprīkots ar daudziem iepriekš instalētiem moduļiem, kā rezultātā, palaižot, var rasties veiktspējas problēmas.
Kā novērst vienlaicīgus savienojumus operētājsistēmā Linux, izmantojot IPTables
iptables ir ugunsmūra programmatūra, ko var atrast daudzos izplatījumos, tostarp CentOS un Ubuntu. Šajā dokumentā jūs redzēsit, kā jūs varat novērst vienlaicīgumu
Mašīnu pieaugums: AI reālās pasaules lietojumi
Mākslīgais intelekts nav nākotnē, tas ir šeit, tagadnē. Šajā emuārā lasiet, kā mākslīgā intelekta lietojumprogrammas ir ietekmējušas dažādas nozares.
DDOS uzbrukumi: īss pārskats
Vai arī jūs esat DDOS uzbrukumu upuris un esat neizpratnē par profilakses metodēm? Izlasiet šo rakstu, lai atrisinātu savus jautājumus.
Vai esat kādreiz domājis, kā hakeri pelna naudu?
Iespējams, esat dzirdējuši, ka hakeri pelna daudz naudas, bet vai esat kādreiz domājuši, kā viņi nopelna šādu naudu? pārrunāsim.
Google revolucionāri izgudrojumi, kas atvieglos jūsu dzīvi.
Vai vēlaties redzēt revolucionārus Google izgudrojumus un to, kā šie izgudrojumi mainīja katra cilvēka dzīvi mūsdienās? Pēc tam lasiet emuārā, lai redzētu Google izgudrojumus.
Piektdiena: kas notika ar AI vadītām automašīnām?
Pašpiedziņas automobiļu koncepcija izbraukt uz ceļiem ar mākslīgā intelekta palīdzību ir mūsu sapnis jau kādu laiku. Bet, neskatoties uz vairākiem solījumiem, tie nekur nav redzami. Lasiet šo emuāru, lai uzzinātu vairāk…
Tehnoloģiskā singularitāte: cilvēces civilizācijas tāla nākotne?
Zinātnei strauji attīstoties, pārņemot lielu daļu mūsu pūļu, palielinās arī risks pakļaut sevi neizskaidrojamai singularitātei. Izlasiet, ko singularitāte varētu nozīmēt mums.
Datu glabāšanas evolūcija – infografika
Datu uzglabāšanas metodes ir attīstījušās kopš datu dzimšanas. Šajā emuārā ir aprakstīta datu uzglabāšanas attīstība, pamatojoties uz infografiku.
Lielo datu atsauces arhitektūras slāņu funkcijas
Lasiet emuāru, lai vienkāršākā veidā uzzinātu dažādus lielo datu arhitektūras slāņus un to funkcijas.
6 brīnišķīgas priekšrocības, ko sniedz viedo mājas ierīču izmantošana mūsu dzīvē
Šajā digitālajā pasaulē viedās mājas ierīces ir kļuvušas par būtisku dzīves sastāvdaļu. Šeit ir daži pārsteidzoši viedo mājas ierīču ieguvumi, lai padarītu mūsu dzīvi dzīves vērtu un vienkāršāku.
MacOS Catalina 10.15.4 papildinājuma atjauninājums rada vairāk problēmu nekā to risināšana
Nesen Apple izlaida macOS Catalina 10.15.4 papildinājuma atjauninājumu, lai novērstu problēmas, taču šķiet, ka atjauninājums rada vairāk problēmu, kas izraisa Mac datoru bloķēšanu. Izlasiet šo rakstu, lai uzzinātu vairāk
