{{tag>Brouillon Linux}}

= Notes Linux capabilities sécurité caps capsh setcap

Voir :
* [[http://connect.ed-diamond.com/GNU-Linux-Magazine/GLMF-164/Les-capabilities-sous-Linux|Les capabilities sous Linux]]
* [[https://linuxfr.org/news/linux-capabilities-se-passer-des-commandes-su-et-sudo|Linux capabilities : se passer des commandes su et sudo]]

<code bash>
man 7 capabilities
</code>

<code bash>
capsh --print
getpcaps $$
</code>


<code ->
$ dpkg -L libcap-ng-utils |grep 'bin/'
/usr/bin/captest
/usr/bin/filecap
/usr/bin/netcap
/usr/bin/pscap
</code>

Voir :
* [[Serveur en écoute sur un port inférieur à 1024 sans utiliser root ni setuid grâce aux capabilities setcap]]


== tcpdump permission pour non-root

Autoriser les utilisateur non-root à utiliser tcpdump

NOTE : il est aussi possible d'utiliser le sudoer 

Source : https://askubuntu.com/questions/530920/tcpdump-permissions-problem

Add a capture group and add yourself to it:

<code bash>
sudo groupadd pcap
sudo usermod -a -G pcap $USER
</code>

Next, change the group of tcpdump and set permissions:

<code bash>
sudo chgrp pcap /usr/sbin/tcpdump
sudo chmod 750 /usr/sbin/tcpdump
</code>

Finally, use setcap to give tcpdump the necessary permissions:

<code bash>
sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
</code>

Be careful, that this will allow everybody from the group pcap to manipulate network interfaces and read raw packets!



== SyncThing - syncOwnership

Source : https://docs.syncthing.net/advanced/folder-sync-ownership

<code bash>
sudo chown root /usr/local/bin/syncthing
sudo chmod 755 /usr/local/bin/syncthing
sudo setcap CAP_CHOWN,CAP_FOWNER=pe /usr/local/bin/syncthing
</code>



== Autres

<code bash>
nerdctl run -ti --rm --cap-drop=all docker.io/jess/amicontained /bin/sh
</code>

<code bash>
crictl inspect 6142ce06b10d6
</code>