capsudo – minimaler sudo-Ersatz, entworfen mit einem Objektfähigkeitsmodell
(github.com/kaniini)- Wendet anstelle des traditionellen benutzer- und regelbasierten Berechtigungsmodells von sudo/doas das Objektfähigkeitsmodell (Object-Capability Model) an, um die Delegation von Rechten zu vereinfachen
- Stellt Rechte nicht über Konfigurationsdateien dar, sondern in einer Struktur, in der der Socket selbst die Capability ist
capsudoderstellt einen Berechtigungssocket für die Ausführung eines bestimmten Befehls und wartetcapsudogreift auf diesen Socket zu und kann nur den vorab gebundenen Befehl ausführen
- Allein über die Dateirechte des Sockets (Eigentümer, Gruppe, Modus) lässt sich klar steuern, wer was ausführen darf
- Ohne Benutzer-/Befehls-Matching-Regeln, Parser oder komplexe Policy-Sprache fügt es sich natürlich in das Unix-Berechtigungsmodell ein
- Besonders geeignet für Berechtigungsdelegation mit einem einzigen Zweck, etwa wenn einem bestimmten Benutzer nur
rebooterlaubt werden soll# capsudod -s /home/user/reboot-capability reboot & # chown user:user /home/user/reboot-capability && chmod 700 /home/user/reboot-capability $ capsudo -s /home/user/reboot-capability - Leicht als Alternative zu sudo/doas in minimalen Systemumgebungen wie Alpine Linux einsetzbar
- Das Design konzentriert sich weniger auf „wer darf etwas ausführen?“ als auf „wer besitzt diese Capability?“
Noch keine Kommentare.