2004-06-18 (Fri) [長年日記]
_ capability patch for cvsd
cvsdにLinux ケーパビリティのサポートを追加してみた。
configureがlibcapのヘッダファイル(Debianだとlibcap-devパッケージ)を見つけると、ケーパビリティのサポートが有効になる。 あとは、cvsd.confに次のように書けば、全部のケーパビリティを捨てることができる。
Capabilities all=
こうしとくと、万一rootを取られてもchrootを破られる心配がなくなる(はずだけど、間違ってたらご指摘ください)。
作者にパッチ送ってから気がついたけど、設定ファイルでcap_from_text(3)スタイルの設定を書かせる必要はなくて、単に全部のケーパビリティを捨ててしまった方がよいかもしれいない。