Jak przyznać prawa do tcpdump zwykłemu userowi? Nie tyle chodzi mi o to by user mógł uruchamiać te aplikacje z uprawnieniami roota, chodzi mi bardziej o nadanie uprawnień userowi w kontekście programu tcpdump możliwości tworzenia niskopoziomowych pakietów itp. Czy da się to zrobić?
Hmmm...
Nie wiem, dlaczego nie SUID i dlaczego nie SUDO... chociaż rzeczywiście "nieoddawanie roota", a tylko "nadanie praw tworzenia odpowiednich pakietów per aplikacja" jest rozwiązaniem bezpieczniejszym. Podoba mi się pytanie!
Tu rozwiązanie:
[root@base ~]# setcap 'CAP_NET_RAW-eip CAP_NET_ADMIN-eip' /usr/sbin/tcpdump
Warto zmienić uprawnienia do binarki z 755 na 750 i za pomocą grupy określić użytkowników, którzy będą mogli uruchamiać tcpdumpa.
