SETPRIV(1)                    Comenzi utilizator                    SETPRIV(1)

NUME
       setpriv - ruleaza un program cu diferite configurari de privilegii
       Linux

REZUMAT
       setpriv [op<?>iuni] program [argumente]

DESCRIERE
       Stabile<?>te sau interogheaza diverse configurari de privilegii Linux
       care sunt mo<?>tenite de execve(2).

       In compara<?>ie cu su(1) <?>i runuser(1), setpriv nu utilizeaza PAM
       <?>i nici nu solicita o parola. Este un simplu invaluitor care nu
       stabile<?>te ID-ul de utilizator in jurul lui execve(2) <?>i poate fi
       utilizat pentru a scadea privilegiile in acela<?>i mod ca setuidgid(8)
       din daemontools, chpst(8) din runit sau instrumente similare furnizate
       de al<?>i administratori de servicii.

OP<?>IUNI
       --clear-groups
           <?>terge grupurile suplimentare.

       -d, --dump
           Afi<?>eaza starea actuala a privilegiilor. Aceasta op<?>iune poate
           fi specificata de mai multe ori pentru a afi<?>a informa<?>ii
           suplimentare, de cele mai multe ori inutile. Incompatibila cu toate
           celelalte op<?>iuni.

       --groups grup...
           Stabile<?>te grupurile suplimentare. Argumentul este o lista de
           GID-uri sau nume separate prin virgule.

       --inh-caps (+|-)capacita<?>i..., --ambient-caps (+|-)capacita<?>i...,
       --bounding-set (+|-)capacita<?>i...
           Stabile<?>te capacita<?>ile mo<?>tenite, capacita<?>ile ambientale
           sau setul de limitare a capacita<?>ilor. A se vedea
           capabilities(7). Argumentul este o lista de intrari +capacita<?>i
           <?>i -capacita<?>i, separate prin virgule, care adauga sau,
           respectiv, elimina o intrare. capacita<?>i poate fi fie un nume
           interpretabil de catre om, a<?>a cum se vede in capabilities(7),
           fara prefixul capacita<?>i, fie in formatul cap_N, unde N este
           indexul intern al capacita<?>ilor utilizat de Linux. +all <?>i -all
           pot fi utilizate pentru a adauga sau a elimina toate
           capacita<?>ile.

           Setul de capacita<?>i incepe cu setul mo<?>tenit curent pentru
           --inh-caps, setul ambiental curent pentru --ambient-caps <?>i setul
           de limitare curent pentru --bounding-set.

           Re<?>ine<?>i urmatoarele restric<?>ii [detaliate in
           capabilities(7)] privind modificarile aduse acestor seturi de
           capacita<?>i:

           o   O capacitate poate fi adaugata la setul mo<?>tenit numai daca
               este prezenta in prezent in setul limitator.

           o   O capacitate poate fi adaugata la setul ,,ambient" numai daca
               este prezenta atat in setul permis, cat <?>i in setul
               mo<?>tenit.

           o   In pofida sintaxei oferite de setpriv, nucleul nu permite
               adaugarea de capacita<?>i la setul limitator.

       Daca renun<?>a<?>i la o capacitate din setul delimitator fara a o
       elimina, de asemenea, din setul mo<?>tenit, este posibil sa va
       confunda<?>i. Nu face<?>i acest lucru.

       --keep-groups
           Pastreaza grupurile suplimentare. Utila numai in combina<?>ie cu
           --rgid, --egid sau --regid.

       --init-groups
           Ini<?>ializeaza grupurile suplimentare folosind initgroups3. Utila
           numai in combina<?>ie cu --ruid sau --reuid.

       --list-caps
           Listeaza toate capacita<?>ile cunoscute. Aceasta op<?>iune trebuie
           sa fie specificata singura.

       --no-new-privs
           Activeaza bitul no_new_privs. Cu acest bit activat, execve(2) nu va
           acorda noi privilegii. De exemplu, vor fi dezactiva<?>i bi<?>ii
           set-user-ID <?>i set-group-ID, precum <?>i capacita<?>ile de
           fi<?>ier (executarea binarelor cu ace<?>ti bi<?>i activa<?>i va
           func<?>iona in continuare, dar nu vor ob<?>ine privilegii; anumite
           LSM-uri, in special AppArmor, pot duce la e<?>ecuri in executarea
           anumitor programe). Acest bit este mo<?>tenit de procesele-copil
           <?>i nu poate fi dezactivat. A se vedea prctl(2) <?>i
           Documentation/prctl/no_new_privs.txt in sursa nucleului Linux.

           Bitul no_new_privs este acceptat incepand cu Linux 3.5.

       --rgid gid, --egid gid, --regid gid
           Stabile<?>te GID-ul real, efectiv sau ambele GID-uri. Argumentul
           gid poate fi dat ca un nume de grup textual.

           Pentru siguran<?>a, trebuie sa specifica<?>i una dintre urmatoarele
           op<?>iuni: --clear-groups, --groups, --keep-groups sau
           --init-groups daca stabili<?>i vreun gid primar.

       --ruid uid, --euid uid, --reuid uid
           Stabile<?>te UID-ul real, efectiv sau ambele. Argumentul uid poate
           fi dat sub forma unui nume de autentificare textual.

           Stabilirea unui uid sau gid nu modifica capacita<?>ile, de<?>i
           apelul exec de la sfar<?>it ar putea modifica capacita<?>ile. Acest
           lucru inseamna ca, daca sunte<?>i root, probabil dori<?>i sa
           face<?>i ceva de genul:

           setpriv --reuid=1000 --regid=1000 --inh-caps=-all

       --securebits (+|-)bit-securitate...
           Activeaza sau dezactiveaza bi<?>ii-de-securitate. Argumentul este o
           lista separata prin virgule. Bi<?>ii-de-securitate valizi sunt
           noroot, noroot_locked, no_setuid_fixup, no_setuid_fixup_locked <?>i
           keep_caps_locked. keep_caps este eliminat de execve(2) <?>i, prin
           urmare, nu este permis.

       --pdeathsig keep|clear|<semnal>
           Pastreaza, <?>terge sau activeaza semnalul de moarte al parintelui.
           Unele LSM-uri, in special SELinux <?>i AppArmor, <?>terg semnalul
           atunci cand se schimba acreditarile procesului. Folosind
           --pdeathsig keep se va restabili semnalul de moarte al parintelui
           dupa schimbarea acreditarilor pentru a remedia aceasta situa<?>ie.

       --ptracer pid|any|none
           Atunci cand modul restric<?>ionat ptrace ,,restricted ptrace" al
           Yama este in vigoare (adica atunci cand
           /proc/sys/kernel/yama/ptrace_scope este definit la 1), permite
           urmarirea prin ptrace(2) de catre procesul cu PID specificat, de
           catre orice proces sau de catre niciun proces. A se vedea
           PR_SET_PTRACER(2const). Re<?>ine<?>i ca aceasta op<?>iune nu este
           mo<?>tenita de procesele copil, de<?>i este pastrata prin
           execve(2). Aceasta op<?>iune nu are niciun efect atunci cand Yama
           nu este activat sau este intr-un alt mod decat ,,restricted
           ptrace".

       --selinux-label eticheta
           Solicita o anumita tranzi<?>ie SELinux (folosind o tranzi<?>ie pe
           exec, nu dyntrans). Acest lucru va e<?>ua <?>i va face ca setpriv
           sa e<?>ueze daca SELinux nu este utilizat, iar tranzi<?>ia poate fi
           ignorata sau poate face ca execve(2) sa e<?>ueze, dupa bunul plac
           al lui SELinux (in special, este pu<?>in probabil ca acest lucru sa
           func<?>ioneze impreuna cu no_new_privs). Acest lucru este similar
           cu runcon(1).

       --apparmor-profile profil
           Solicita un anumit profil AppArmor (utilizand o tranzi<?>ie pe
           execu<?>ie). Acest lucru va e<?>ua <?>i va face ca setpriv sa fie
           anulat daca AppArmor nu este utilizat, iar tranzi<?>ia poate fi
           ignorata sau poate face ca execve(2) sa e<?>ueze, in func<?>ie de
           capriciul lui AppArmor.

       --landlock-access acces
           Activeaza restric<?>iile landlock pentru un set specific de
           accesari ale sistemului. Pentru a permite subgrupuri specifice de
           accese, utiliza<?>i --landlock-rule.

           Blocheaza orice acces la sistemul de fi<?>iere:

           setpriv --landlock-access sistem-fi<?>iere

           Blocheaza toate <?>tergerile de fi<?>iere <?>i crearea de
           directoare:

           setpriv --landlock-access sistem-fi<?>ier:fi<?>ier-de
           eliminat,make-dir

           Pentru un set complet de categorii de acces acceptate, utiliza<?>i
           setpriv --help.

       --landlock-rule regula
           Permite un anumit acces din categoriile blocate de
           --landlock-access.

           Sintaxa este urmatoarea:

           --landlock-rule $ruletype:$access:$rulearg

           De exemplu, acorda<?>i acces de citire a fi<?>ierelor la tot ce se
           afla sub /boot:

           --landlock-rule path-beneath:read-file:/boot

       --seccomp-filter fi<?>ier
           Incarca codul filtrului BPF seccomp brut dintr-un fi<?>ier.

           Filtrele pot fi create, de exemplu, cu enosys.

       --reset-env
           <?>terge toate variabilele de mediu, cu excep<?>ia TERM;
           ini<?>ializeaza variabilele de mediu HOME, SHELL, USER, LOGNAME in
           func<?>ie de parola utilizatorului; define<?>te PATH la
           /usr/local/bin:/bin:/usr/bin pentru un utilizator obi<?>nuit <?>i
           la
           /usr/local/sbin:/usr/local/bin:/sbin:/bin:/bin:/usr/sbin:/usr/bin
           pentru root.

           Variabila de mediu PATH poate fi diferita pe sistemele in care /bin
           <?>i /sbin sunt comasate in /usr. Variabila de mediu SHELL are ca
           valoare implicita /bin/sh in cazul in care nu este specificata in
           parola de acces a utilizatorului.

       -h, --help
           Afi<?>eaza acest mesaj de ajutor <?>i iese.

       -V, --version
           Afi<?>eaza versiunea <?>i iese.

NOTE
       In cazul in care aplicarea oricarei op<?>iuni specificate e<?>ueaza,
       program nu va fi executat, iar setpriv va termina cu starea de ie<?>ire
       127.

       Ave<?>i grija cu acest instrument - poate avea consecin<?>e
       nea<?>teptate asupra securita<?>ii. De exemplu, daca defini<?>i
       no_new_privs <?>i apoi executa<?>i un program care este limitat de
       SELinux (a<?>a cum ar face acest instrument), este posibil ca
       restric<?>iile SELinux sa nu i<?>i faca efectul.

EXEMPLE
       Daca sunte<?>i in cautarea unui comportament similar cu
       su(1)/runuser(1), sau sudo(8) (fara op<?>iunea -g), incerca<?>i ceva de
       genul:

       setpriv --reuid=1000 --regid=1000 --init-groups

       Daca dori<?>i sa imita<?>i setuid(8) de la daemontools, incerca<?>i:

       setpriv --reuid=1000 --regid=1000 --clear-groups

AUTORI
       Andy Lutomirski <luto@amacapital.net>

CONSULTA<?>I <?>I
       runuser(1), su(1), prctl(2), capabilities(7) landlock(7)

RAPORTAREA ERORILOR
       Pentru rapoarte de eroare, folosi<?>i sistemul de urmarire al erorilor
       <https://github.com/util-linux/util-linux/issues>.

DISPONIBILITATE
       Comanda setpriv face parte din pachetul util-linux care poate fi
       descarcat de la Linux Kernel Archive
       <https://www.kernel.org/pub/linux/utils/util-linux/>.

util-linux 2.41                   2025-03-29                        SETPRIV(1)