capsudo - công cụ thay thế sudo tối giản được thiết kế theo mô hình quyền đối tượng
(github.com/kaniini)- Áp dụng Mô hình Quyền Đối tượng (Object-Capability Model) để đơn giản hóa việc ủy quyền, thay vì mô hình quyền dựa trên người dùng·quy tắc của sudo/doas truyền thống
- Biểu diễn quyền không phải bằng tệp cấu hình mà bằng cấu trúc chính socket là capability
capsudodtạo socket quyền hạn có thể thực thi một lệnh cụ thể và chờ kết nốicapsudotruy cập socket đó và chỉ có thể thực thi lệnh đã được bind sẵn từ trước
- Kiểm soát rõ ràng ai có thể chạy gì chỉ bằng quyền tệp của socket (owner·group·mode)
- Tích hợp tự nhiên với mô hình quyền Unix mà không cần quy tắc khớp người dùng·lệnh, parser hay ngôn ngữ chính sách phức tạp
- Đặc biệt phù hợp cho ủy quyền đơn mục đích, chẳng hạn chỉ cho phép một người dùng cụ thể chạy
reboot# capsudod -s /home/user/reboot-capability reboot & # chown user:user /home/user/reboot-capability && chmod 700 /home/user/reboot-capability $ capsudo -s /home/user/reboot-capability - Dễ dùng như một giải pháp thay thế sudo/doas trong các môi trường hệ thống tối giản như Alpine Linux
- Thiết kế tập trung vào "ai sở hữu capability này" hơn là "ai có thể thực thi"
1 bình luận
https://github.com/kaniini/capsudo