Pawel Golaszewski wrote: > On Mon, 7 Feb 2011, Arkadiusz Chomicki wrote: > > informacyjne dla pinga udało mi się: > > # chmod a-s /bin/ping > > # chmod o+x /bin/ping > > # setcap -v cap_net_raw=ep /bin/ping > > > > i pingowanie ze zwykłego konta działa. > > Takie rzeczy są możliwe od baaaardzo dawna, jeszcze w czasach kernela 2.2 > był sobie moduł capsel, który pozwalał konkretnym plikom dawać konkretne > CAP. I to bardzo fajnie chodziło.
Dokładnie takie rzeczy czyli file capabilities są możliwe od 2.6.24. Wczeeeśniej istniała conajmniej jedna łata dostarczająca to samo (i napisana przez tego samego człowieka), lecz nigdy nie kupiona przez upstream. Jeśli chodzi o samą możliwość ustawiania capabilities, to jeszcze da się to zrobić przy pomocy: trustees.spec (niekompatybilny z współczesnym API LSM) lub RSBAC (wymaga trochę łatania jajka, ale działa bezproblemowo na pld). Zbyniu -- %% Absolutely nothing we trust %% _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
