Práce s funkcemi Linuxu

Úvod

Možnosti Linuxu jsou speciální atributy v jádře Linuxu, které udělují procesům a binárním spustitelným souborům specifická oprávnění, která jsou normálně vyhrazena pro procesy, jejichž efektivní ID uživatele je 0 (Uživatel root a pouze uživatel root má UID 0).

Tento článek vysvětlí některé dostupné funkce, jejich použití a jak je nastavit a odebrat. Vezměte prosím na vědomí, že nastavení funkcí u spustitelných souborů může ohrozit zabezpečení vašeho systému. Před implementací funkcí do výroby byste proto měli zvážit testování na neprodukčním systému.

Předpoklady

• Systém Linux, ke kterému máte přístup root (buď prostřednictvím uživatele root nebo uživatele s přístupem sudo).

Vysvětlení

Cílem schopností je v podstatě rozdělit sílu „rootu“ na konkrétní privilegia, takže pokud je zneužit proces nebo binární soubor, který má jednu nebo více schopností, je potenciální poškození omezeno ve srovnání se stejným procesem, který běží jako root.

Schopnosti lze nastavit u procesů a spustitelných souborů. Proces, který je výsledkem provádění souboru, může získat schopnosti tohoto souboru.

Možnosti implementované v Linuxu jsou četné a mnohé byly přidány od jejich původního vydání. Některé z nich jsou následující:

• CAP_CHOWN: Proveďte změny ID uživatele a ID skupiny souborů
• CAP_DAC_OVERRIDE: Přepíše DAC (Discretionary Access Control). Například vto obejít kontroly oprávnění ke čtení/zápisu/spouštění.
• CAP_KILL: Obejít kontroly oprávnění pro odesílání signálů procesům.
• CAP_SYS_NICE: Zvyšte slušnost procesů ( Vysvětlení slušnosti naleznete zde )
• CAP_SYS_TIME: Nastavení hardwarových hodin systému a reálného času

Pro úplný seznam spusťte man 7 capabilities.

Schopnosti jsou přiřazeny v sadách, konkrétně „povolené“, „dědičné“, „účinné“ a „okolní“ pro vlákna a „povolené“, „dědičné“ a „účinné“ pro soubory. Tyto sady definují různá komplexní chování, jejich úplné vysvětlení přesahuje rámec tohoto článku.

Při nastavování schopností v souboru budeme téměř vždy používat „povolené“ a „účinné“, například CAP_DAC_OVERRIDE+ep. Všimněte si +ep, který označuje výše uvedené sady.

Práce s možnostmi souborů

Požadované balíčky

Existují dva hlavní nástroje, getcapa setcapkterý může v tomto pořadí zobrazit a nastavit tyto atributy.

• Na Debianu a Ubuntu jsou tyto nástroje poskytovány v libcap2-binbalíčku, který lze nainstalovat s:apt install libcap2-bin
• Na CentOS a Fedoře libcapje potřeba balíček:yum install libcap
• Na Arch Linuxu je také poskytuje libcap:pacman -S libcap

Možnosti čtení

Chcete-li zjistit, zda má soubor nastavenou nějakou schopnost, můžete jednoduše spustit getcap /full/path/to/binary, například:

 root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

Chcete-li zjistit, které možnosti jsou již ve vašem systému nastaveny, můžete rekurzivně prohledat celý souborový systém pomocí následujícího příkazu:

getcap -r /

Vzhledem k tomu, že virtuální souborové systémy (jako je /proc) nepodporují tyto operace, výše uvedený příkaz způsobí tisíce chyb, takže pro čistší výstup použijte následující:

getcap -r / 2>/dev/null 

Přiřazování a odebírání schopností

Chcete-li nastavit konkrétní schopnost souboru, použijte setcap "capability_string" /path/to/file.

Chcete-li ze souboru odebrat všechny funkce, použijte setcap -r /path/to/file.

Pro demonstraci vytvoříme prázdný soubor v aktuálním adresáři, dáme mu možnost a odstraníme jej. Začněte s následujícím:

root@demo:~# touch testfile
root@demo:~# getcap testfile

Druhý příkaz nevytváří žádný výstup, což znamená, že tento soubor nemá žádnou funkci.

Dále nastavte funkci pro soubor:

root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

Jako příklad bylo použito "CAP_CHOWN+ep", ale tímto způsobem lze přiřadit jakékoli jiné.

Nyní odeberte všechny možnosti z testfile:

root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

Opět nebude žádný výstup, protože „CAP_CHOWN+ep“ bylo odstraněno.

Závěr

Schopnosti mají mnoho potenciálních využití a mohou pomoci zvýšit zabezpečení vašich systémů. Pokud ve svých spustitelných souborech používáte bit SUID, zvažte jeho nahrazení potřebnou specifickou funkcí.