Comment puis-je avoir des capacités pour travailler avec su?

1

J'ai ajouté une ligne à /etc/security/capability.conf afin que je puisse avoir un utilisateur capable de tout lire pour les sauvegardes, mais ne pas tout faire. root peut.

cap_dac_read_search backup

Si j'ajoute un mot de passe et un shell pour l'utilisateur, puis que je me connecte, j'obtiens la fonctionnalité héritée:

backup$ capsh --print
Current: = cap_dac_read_search+i

Mais cela ne s'affiche pas lorsque je su au compte:

user$ sudo su backup -s /bin/sh -c "capsh --print"
Current: =

Naturellement, cela fonctionne pour sudo ou su à la racine:

user$ sudo capsh --print
Current: = cap_chown,cap_dac_override, ...

Existe-t-il un moyen de transférer les fonctionnalités lors de l’utilisation de su ?

    
posée jmw 25.04.2015 - 23:42
la source

1 réponse

2

Installer libpam-cap

Dans /etc/pam.d/su , vérifiez que pam_cap.so apparaît avant pam_rootok.so

auth       optional  pam_cap.so
auth       sufficient pam_rootok.so

Vous avez déjà configuré capability.conf , alors vous serez prêt à partir!

    
réponse donnée user2002420 04.03.2016 - 23:10
la source