libcap-ng. 차세대 libcap 라이브러리
지금 다운로드

libcap-ng. 순위 및 요약

libcap-ng. 태그

프로그램 작성 도서관 Libcap. libcap 라이브러리 POSIX 프로그래밍

libcap-ng. 설명

차세대 libcap 라이브러리 libcap-ng는 POSIX 기능을 사용하여 프로그래밍 할 수 있도록 설계된 라이브러리로 전통적인 libcap 라이브러리보다 훨씬 쉽습니다. 여기에는 현재 실행중인 모든 응용 프로그램을 분석하고 모든 기능을 인쇄 할 수있는 유틸리티와 열려있는 종료 된 경계 세트가 있는지 여부를 인쇄 할 수 있습니다. SurectBits "Noroot"플래그가없는 열린 경계 집합은 execve를 호출하여 UID 0을 유지하는 앱에 대한 전체 기능 에스컬레이션을 허용합니다. 포함 된 유틸리티는 관리자와 개발자가 너무 많은 권한으로 실행될 수있는 다양한 방식으로 앱을 스폿 앱을 보도록합니다. 예를 들어, 모든 조사는 침입을위한 주요 목표가되기 때문에 네트워크 직면 앱으로 시작해야합니다. NetCAP 프로그램은 실행중인 모든 응용 프로그램을 모두 확인하고 결과를 표시합니다. NetCap에서 출력 된 샘플 출력 : PPID PID ACCT 명령 유형 포트 CAPABILITIE12295 ROOT NASD TCP 8000 FULL23232383 루트 DNSMASQ TCP 53 NET_ADMIN, NET_RAW +12286 루트 SSHD TCP 2286 루트 SSHD TCP 22 Full12365 루트 Cupsd TCP 631 Full12286 루트 SSHD TCP622 Full12365 루트 CupsD TCP6631 Full23232383 루트 DNSMASQ UDP 53 NET_ADMIN, NET_RAW +23232383 루트 DNSMASQ UDP 67 NET_ADMIN, NET_RAW +12365 루트 CUPSD UDP 631 Fullbut 누군가가 시스템에 들어가서 부분적 역량 만 있으면 다음 목표가있을 수있는 것만이 될 것입니다. 가득 차있는 PRIC를 얻으 십시요? PSCAP 프로그램에서는 현재 권한이있는 시스템에서 현재 실행중인 모든 앱을 보여줍니다. 이상적으로, UID 0으로 실행중인 모든 앱은 권한을 삭제해야합니다. 일부는 나중에 설명 된 것처럼 좋은 이유로 할 수 없습니다. 그러나 많은 CAN.IF 이유가 너무 열심히 또는 앱 개발자가 변경을 꺼리는 것으로 느끼는 경우, 파일 시스템이 확장 된 속성이 있고 커널이 파일 시스템 기반 기능을 지원하는 경우 파일을 FileCap을 사용하여 파일 기반 기능을 설정할 수 있습니다. 또한 파일 시스템 기반 기능이있는 시스템의 파일을 검색 할 수도 있습니다. Beloper Commenti는 파일 시스템 기반 기능의 의도 중 하나가 관리자가 보안 위험 프로필을 제어하고 시스템에 독립적으로 앱의 앱의 앱의 특권을 삭제할 수있게하는 것이 었습니다. 응용 프로그램 개발자가 수행합니다. 나는 권한을 떨어 뜨리는 것에 대한 낮은 채택률이 낮은 API가 모든 작업을 수행하기 위해 지루하고 앱 개발자가 그것을 사용하지 않기 때문입니다. 이 프로그램을 사용하려면 루트가 필요하다고 말하는 앱은 몇 개입니까? 이것은 루트 사용자인지 확인하는 것이 하나의 코드라는 코드 라인이기 때문입니다. 프로그래머는 아마 특정 기능이 필요하다는 것을 알고 있지만 대신 바로 가기를 선택했습니다. 나는 사용하기 쉽게 API를 사용하여 변경하고 싶었습니다. 응용 프로그램 개발자가 20 줄의 코드를 추가하는 것보다 3-4 라인 패치를 수락하는 것이 더 쉽습니다. Probabaly 6 사용 사례가 있습니다 : 모든 기능을 삭제, 하나의 기능 유지, 여러 기능 유지, 확인 모든 기능이 있으면 특정 기능을 확인하고 UID 변경에 걸쳐 기능을 유지합니다. libcap-ng (그리고 지금 파이썬에서)를 사용하여 아래 각각을 수행하는 것이 얼마나 쉬운지를 보여줄 것입니다. 1) 모든 기능을 삭제합니다 capng_clear (capng_select_both); capng_apply (capng_select_both); 2) 하나의 능력 capng_clear (capng_select_both)를 유지합니다. CAPNG_UPDATE (capng_add, capng_effective | capng_permitted, cap_chown); capng_apply (capng_select_both); 3) 여러 기능을 CAPNG_CLEAR (capng_select_both) 유지; CAPNG_UPDATEV (capng_add, capng_effective | capng_permitted, cap_setuid, cap_setgid, -1); capng_apply (capng_select_both); 4) DO_SOMENTHENTITION (capng_sho_capabilities)> capng_none (capng_none); 5) do_something (); 6) 능력을 유지하는 경우, capng_have_capabilities (capng_have_capabilities); UID CAPNG_CLEAR (capng_select_both); CAPNG_UPDATE (capng_add, capng_effective | capng_permitted, cap_chown); if (capng_change_id (99, 99, capng_drop_supp_grp | capng_clear_bounding)) 오류 (); 이제 훨씬 더 간단하지 않습니까? 마지막 예제는 이전 기능 라이브러리를 사용하여 약 60 줄의 코드가 필요합니다. 0.6 릴리스에서는 AutoTools Config 시스템에 libcap-ng를 추가하는 데 도움이되는 M4 매크로 파일이 있습니다. configure.ac에서 libcap_ng_path를 추가하십시오. 그런 다음 makefile.am libcap-ng에 링크하는 앱을 찾아 _DADD 항목에 $ (capng_ldadd)를 추가하십시오. 그리고 마지막으로 #ifdef has_libcap_ng.one의 선택적 기능 코드를 둘러싸는이 라이브러리의 HAD_LIBCAP_NG.ONE 측면은 다른 종류의 기능 세트 인 것처럼 경계 세트를 처리하는 것입니다. 효과적이거나 허용되거나 상속 가능한 것과 동일한 기능도 bounding_set을 취합니다. 그러나 때로는 경계 집합을 만지고 싶지 않으므로 API는 전통적인 기능, 경계 세트 또는 둘 다를 선택할 수 있습니다. 한 가지는 경계 세트를 변경하려는 경우 SetPCAP 기능이 있어야합니다. SetPCAP 기능 없이도 언제든지 전통적인 기능을 떨어 뜨릴 수 있습니다. "능력 (7)"맨 페이지에서 이것에 대해 자세히 알아보십시오.

libcap-ng. 관련 소프트웨어