问题描述
/usr/bin/python2.7 = cap_sys_admin+ep
我知道 CAP_SYS_ADMIN
是“CAP_SYS_ADMIN 是高特权访问级别,通常应避免使用,因为它等同于根访问级别。” (https://docs.bridgecrew.io/docs/bc_k8s_36)
这是否意味着我可以使用 /usr/bin/python2.7 以 root 身份运行?
那么我实际上如何使用 /usr/bin/python2.7
获得示例 root bash?
解决方法
在 cap_sys_admin
上设置 /usr/bin/python
意味着 python 将能够进行任何“root”系统调用。这意味着任何运行 python 的人都有能力做通常只有 root 才能做的事情。如果有人(恶意或意外)尝试做一些危险的事情,他们不会被阻止。像下面这样简单的事情可能是灾难性的:
import shutil
shutil.rmtree('/')
在大多数情况下,如果您需要以提升的权限运行脚本,最好使用具有这些权限的用户帐户,使用 su
或 sudo
,而不是使命令始终运行限制。这样你就可以专注于“谁”可以做事,而不是“什么”。