Начало » » Работа с Linux възможности

Работа с Linux възможности

  • Въведение
  • Предпоставки
  • Обяснение
  • Работа с възможности за файлове
  • Заключение

    • Въведение

    Възможностите на Linux са специални атрибути в ядрото на Linux, които предоставят на процесите и двоичните изпълними файлове специфични привилегии, които обикновено са запазени за процеси, чийто ефективен потребителски идентификатор е 0 (Потребителят root и само root потребителят имат UID 0).

    Тази статия ще обясни някои от наличните възможности, тяхното използване и как да ги настроите и премахнете. Моля, имайте предвид, че възможностите за настройка на изпълними файлове имат потенциал да компрометират сигурността на вашата система. Като такъв, трябва да помислите за тестване на непроизводствена система, преди да внедрите възможности в производството.

    Предпоставки

    • Linux система, на която имате root достъп (или чрез root потребител, или потребител с sudo достъп).

    Обяснение

    По същество целта на възможностите е да разделят силата на 'root' на специфични привилегии, така че ако се използва процес или двоичен файл, който има една или повече възможности, потенциалната вреда е ограничена в сравнение със същия процес, изпълняващ се като root.

    Възможностите могат да бъдат зададени на процеси и изпълними файлове. Процес, произтичащ от изпълнението на файл, може да получи възможностите на този файл.

    Възможностите, внедрени в Linux, са многобройни и много от тях са добавени след първоначалното им издание. Някои от тях са както следва:

    • CAP_CHOWN: Направете промени в User ID и Group ID на файлове
    • CAP_DAC_OVERRIDE: Отмяна на DAC (дискреционен контрол на достъпа). Например, vto заобикаля проверките за разрешение за четене/запис/изпълнение.
    • CAP_KILL: Заобикаляне на проверките за разрешение за изпращане на сигнали към процеси.
    • CAP_SYS_NICE: Повишете доброто на процесите ( Обяснение за доброто може да се намери тук )
    • CAP_SYS_TIME: Задайте системния и хардуерен часовник в реално време

    За пълния списък стартирайте man 7 capabilities.

    Възможностите се присвояват в набори, а именно "разрешени", "наследствени", "ефективни" и "околни" за нишки и "разрешени", "наследствени" и "ефективни" за файлове. Тези набори дефинират различни сложни поведения, пълното им обяснение е извън обхвата на тази статия.

    Когато задаваме възможности във файл, почти винаги ще използваме "разрешено" и "ефективно", например CAP_DAC_OVERRIDE+ep. Забележете +ep, което обозначава гореспоменатите множества.

    Работа с възможности за файлове

    Необходими пакети

    Има два основни инструмента, getcapи setcapкойто може да видите съответно и определят тези атрибути.

    • В Debian и Ubuntu тези инструменти се предоставят от libcap2-binпакета, който може да бъде инсталиран с:apt install libcap2-bin
    • На CentOS и Fedora libcapпакетът е необходим:yum install libcap
    • На Arch Linux те се предоставят libcapи от:pacman -S libcap

    Възможности за четене

    За да видите дали даден файл има набор от възможности, можете просто да стартирате getcap /full/path/to/binary, например:

     root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

    Ако искате да разберете кои възможности вече са зададени във вашата система, можете да търсите цялата файлова система рекурсивно със следната команда:

    getcap -r /

    Поради факта, че виртуалните файлови системи (като /proc) не поддържат тези операции, командата по-горе ще доведе до хиляди грешки, така че за по-чист изход използвайте следното:

    getcap -r / 2>/dev/null

    Присвояване и премахване на способности

    За да зададете конкретна възможност на файл, използвайте setcap "capability_string" /path/to/file.

    За да премахнете всички възможности от файл, използвайте setcap -r /path/to/file.

    За демонстрация ще създадем празен файл в текущата директория, ще му дадем възможност и ще го премахнем. Започнете със следното:

    root@demo:~# touch testfile
root@demo:~# getcap testfile

    Втората команда не произвежда изход, което означава, че този файл няма никакви възможности.

    След това задайте възможност за файла:

    root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

    „CAP_CHOWN+ep“ беше използван като пример, но всеки друг може да бъде присвоен по този начин.

    Сега премахнете всички възможности от testfile:

    root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

    Отново няма да има изход, защото "CAP_CHOWN+ep" беше премахнат.

    Заключение

    Възможностите имат много потенциални приложения и могат да помогнат за засилване на сигурността на вашите системи. Ако използвате бит SUID във вашите изпълними файлове, помислете дали да не го замените с необходимата специфична възможност.

    Оставете коментар

    Възходът на машините: Реални приложения на AI

    Възходът на машините: Реални приложения на AI

    Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.

    DDOS атаки: кратък преглед

    DDOS атаки: кратък преглед

    Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.

    Чудили ли сте се как хакерите печелят пари?

    Чудили ли сте се как хакерите печелят пари?

    Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.

    Функционалности на референтните архитектурни слоеве за големи данни

    Функционалности на референтните архитектурни слоеве за големи данни

    Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.

    Еволюция на съхранението на данни – инфографика

    Еволюция на съхранението на данни – инфографика

    Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече