• # Bonne idée mais...

    Posté par (site web personnel) . En réponse au message Capabilités. Évalué à 2.

    Je me suis amusé à faire la commande ack '\bCAP_' | perl -p -e 's/.*\b(CAP_[A-Z_]+).*$/1ドル/;' | sort | uniq -c | sort -n sur les sources de mon noyau. Cela ne donne pas des stats précises au centième mais un bon indicateur.

     10 CAP_SYSLOG
     11 CAP_MAC_OVERRIDE
     11 CAP_MKNOD
     12 CAP_SETGID
     12 CAP_SETUID
     12 CAP_UNICODE
     16 CAP_FOWNER
     16 CAP_FSETID
     16 CAP_IPC_LOCK
     16 CAP_SYS_NICE
     16 CAP_SYS_TTY_CONFIG
     19 CAP_LINUX_IMMUTABLE
     19 CAP_NET_BIND_SERVICE
     20 CAP_SYS_TIME
     21 CAP_SYS_PTRACE
     26 CAP_NET_RAW
     26 CAP_PRIVACY_ON
     40 CAP_MAC_ADMIN
     46 CAP_SYS_RESOURCE
     91 CAP_SYS_RAWIO
     419 CAP_NET_ADMIN
     523 CAP_SYS_ADMIN
    

    Je n'ai pas mis toutes les CAP qui sortent moins de 10 fois et qui sont en nombre très importantes... (Il y en a même pas mal qui ne sorte qu'une fois).

    Bilan : la bonne idée s'est transformée en quelques CAP_SYSADMIN, 4 ou 5 tout au plus. Bref, c'est un bel outil mais qui ne me semble pas du tout pouvoir être vraiment utilisé en profondeur pour de la sécurité à grande échelle. Les nouvelles voies comme secomp sont peut être plus prometteuse du point de vu d'un utilisateur.