setpriv: lancer avec UID/GID/capabilities réduits

Démarrer un process avec jeux d'UID/GID, umask et capabilities spécifiques sans changer de shell.

bash security #setpriv #capabilities #uid

16 août 2025

objectif

Appliquer le principe du moindre privilège pour un binaire ponctuel.

code minimal

sudo setpriv --reuid=deploy --regid=deploy --init-groups --reset-env --inh-caps - -- ./app

utilisation

# définir umask et vider les suid/sgid
sudo setpriv --reuid=app --regid=app --init-groups --no-new-privs --clear-groups --reset-env --umask=027 -- ./job

variante(s) utile(s)

# retirer toutes capabilities héritées
sudo setpriv --inh-caps - --ambient-caps - --bounding-set - -- ./cmd

notes

fourni par util-linux.
alternative fine à sudo -u et aux unités systemd dédiées.