eBPF 프로그램에서 커널 스택 추적을 얻을 때 중복되고 이상한 항목이 나타납니다. 누군가 이것을 설명할 수 있습니까? 먼저 관련 eBPF 프로그램 조각부터 시작하겠습니다. 다음과 같이 스택 추적 그래프를 선언합니다. struct { __uint(type, BPF_MAP_TYPE_STACK_TRACE); __type(key, u32); __type(value, stack); __uint(max_entries, 1 << 14); } stacks SEC(".maps...
이 명령은 다음과 같습니다. sudo chown -R root:root directory SUID 비트를 제거하고 모든 기능을 재설정합니다.문서. 왜 자동으로 수행되고 매뉴얼 페이지에 언급되지 않았는지 궁금합니다. 이상한 점은 GUID 비트가 제거되지 않는다는 것입니다. 이 명령을 실행하기 전에는 파일이나 디렉터리가 누구에게 속해 있는지는 중요하지 않습니다. SUID/GUID 비트도아니요삭제됨목차(이 경우에는 쓸모가 없다고 생각하십시오). 아마도 이는 안전이라는 이름으로 행해진 일이지만, 나에게는 ...
저는 기본적으로 루트 사용자가 있는 임베디드 시스템 장치를 개발 중입니다. call.service루트 액세스로 제대로 작동하는 시스템 서비스가 있습니다 . 서비스는 기본적으로 일부 소켓을 생성한 다음 네트워크 장치와 상호 작용합니다. UserA이 서비스를 사용자에게 시작 하고 net_raw및 같은 기능을 제공하고 싶습니다 net_admin. 다음 유닛 파일을 작성했습니다. file: /etc/systemd/system/multi-user.target.wants/call.service [Unit] D...
질문 저는 컨테이너 보안 분야에서 인턴으로 근무하고 있으며 최근 몇 가지 테스트를 수행하기 위해 보안 문제가 있는 컨테이너를 구축해야 했습니다. 이것은 내 도커 파일입니다 FROM dockerfiles/centos-lamp WORKDIR /var/www/html RUN wget https://github.com/RandomStorm/DVWA/archive/v1.0.8.tar.gz -O- | tar xvz --strip-components=1 RUN service mysqld start &&am...
Docker 컨테이너의 기능과 권한을 탐색 중이며 "AUDIT_WRITE", "KILL", "SETFCAP" 및 "SETPCAP" 기능을 제거하면 어떤 영향이 있는지 궁금합니다. Docker 컨테이너에서 이러한 기능이 기본적으로 수행할 수 있는 작업을 명확하게 설명할 수 있는 사람이 있나요? 용기가 폐기되면 어떤 특정 작업이 제한되거나 영향을 받을 수 있습니까? 이러한 기능을 삭제한 후 존재 여부에 비해 변경되는 시나리오를 알려주시면 매우 감사하겠습니다. ...
저는 현재 AppArmor의 기능을 이해하려고 노력하고 있습니다. /bin/pingAppArmor 구성 파일을 복사하고 생성 할 수 있는 예제를 찾았습니다 . /bin/ping먼저 기능 을 설정하기 위한 지침을 복사하고 따랐습니다 net_raw.permittedeffective sudo cp /bin/ping /bin/fake_ping sudo setcap cap_net_raw+ep /bin/fake_ping 그런 다음 AppArmor 구성 파일을 생성했습니다. sudo aa-genprof /bi...
저는 aws eks 1.26 내에서 포드를 실행하고 있습니다. 작업을 통해 aws efs를 마운트 해야 하는데 kubectl exec, POD가 권한 있는 컨테이너로 시작되지 않으면 실패합니다. mountaws eks 내에서 실행되는 컨테이너가 aws efs를 탑재하는 명령을 실행하려면 어떤 권한이 필요합니까 ? 이 구성은 유효합니다. securityContext: privileged: true allowPrivilegeEscalation: true 이 구성은 실패했습니다 securityCo...
루트가 아닌 사용자가 TUN/TAP 인터페이스를 생성하도록 허용해야 하는 상황에 직면했습니다. CAP_NET_ADMIN 기능이 필요하다는 것을 알고 있습니다. 가 있었다다른 문제이에 대한 답변은 CAP_NET_ADMIN 기능을문서/프로그램, 사용자가 아닌. 제 경우에는 다음에 기능을 할당해야 합니다.사용자, 인터페이스를 생성하는 데 적합하다고 판단되는 모든 도구를 사용할 수 있습니다(즉, 인터페이스를 생성하는 데 사용된 특정 파일/프로그램에 국한되지 않음). 리눅스에서 이것이 가능합니까? 특히 Ubu...
docker run --rm --cap-drop=net_bind_service --publish 8080:80 --name nginx nginx ps --forest -fC nginx UID PID PPID C STIME TTY TIME CMD root 449870 449847 0 12:38 ? 00:00:00 nginx: master process nginx -g daemon off; 101 449929 449870 0...
3년 전에 저는 프로그램의 CAP_NET_RAW 기능을 조작하는 프로그램을 작성했습니다. AMBIENT 기능 세트를 사용했습니다. 하지만 이제는 cap-ng.h에 CAPNG_SELECT_AMBIENT가 더 이상 존재하지 않기 때문에 실제 Debian 배포판(커널 5.10)에서 내 프로그램을 컴파일할 수 없습니다. 새로운 상수가 나타났습니다: CAPNG_SELECT_BOTH CAPNG_SELECT_AMBIENT에 무슨 일이 일어나고 있는지 설명해 주실 수 있나요? 감사해요! ...
어떤 운영 체제가 구현되어 있는지 아는 사람 있나요?능력(즉, Posix 1e)? 호환되나요? 이 기능이 Linux의 이식성을 떨어뜨리나요? ...
Busybox 기반의 Linux 시스템에서 루트 사용자로 접근이 가능한 경우, 사용방법특정한 제한된 Linux 세트능력(7)비지박스 외에 다른 도구는 필요하지 않나요? ...
nginx, redis 및 기타 서비스와 함께 웹 애플리케이션을 실행하는 일부 서버가 있습니다. 이러한 시스템을 관리하기 위해 시스템 관리자에게 이러한 서버에 대한 액세스 권한을 부여하고 싶지만 애플리케이션 비밀(예: 데이터베이스 비밀번호) 및 코드(예: 비밀번호를 보고하기 위해 코드를 변경할 수 없도록)가 포함된 디렉터리에 대한 액세스를 거부하고 싶습니다. ). 실제로 관리 시스템에 대한 접근 권한은 부여하고 데이터에 대한 접근은 거부하고 싶습니다. 가능합니까? Linux 기능을 사용해야 한다고 생...
그냥 하는 것보다 CLONE_NEWUSER더 세분화된 방식으로 활성화하려면 어떻게 해야 합니까 kernel.unprivileged_userns_clone? 비루트 또는 BPF와 같은 새로운 복잡한 기능을 비활성화하고 특정 프로그램에서 이를 사용하도록 선택적으로 허용하여 CAP_SYS_ADMIN커널 API 공격 표면을 관리 가능하게 유지하고 싶습니다. 예를 들어, or suid-root가 제대로 작동하기를 chrome-sandbox원 CLOSE_NEWUSER하지만 모든 프로그램이 그렇게 복잡한 트릭을 ...
일반적으로 유닉스(또는 특히 Linux) 프로그램은 ICMP_ECHO("ping")를 사용하여 라우터의 접근성을 확인하는 것과 같은 작업을 수행할 수 없습니다.누구나슈퍼유저로 실행또는setuid 루트또는적절한 POSIX 기능을 갖추고 있어야 합니다. 분명히 setuid 또는 POSIX 기능을 바이너리에 적용하려면 모든 작동 시스템에 대한 수퍼유저 개입이 필요합니다. 개발 환경에 CAP_SETFCAP 기능이 있는 경우 적어도 로컬 작업에 관한 한 빌드하는 프로그램에 적절한 POSIX 기능을 설정할 수 ...