Työskentely Linux-ominaisuuksien kanssa

Johdanto

Linux-ominaisuudet ovat Linux-ytimen erikoisattribuutteja, jotka myöntävät prosesseille ja binäärisuoritettaville tiedostoille erityiset oikeudet, jotka on yleensä varattu prosesseille, joiden todellinen käyttäjätunnus on 0 (juurikäyttäjällä ja vain pääkäyttäjällä on UID 0).

Tässä artikkelissa selitetään joitakin käytettävissä olevia ominaisuuksia, niiden käyttötarkoituksia sekä niiden määrittämistä ja poistamista. Huomaa, että suoritettavien tiedostojen ominaisuuksien asettaminen voi vaarantaa järjestelmän turvallisuuden. Sellaisenaan sinun tulee harkita testaamista ei-tuotantojärjestelmässä ennen ominaisuuksien käyttöönottoa tuotannossa.

Edellytykset

• Linux-järjestelmä, jossa sinulla on pääkäyttäjän oikeudet (joko pääkäyttäjän tai sudo-käyttöoikeuden omaavan käyttäjän kautta).

Selitys

Pohjimmiltaan ominaisuuksien tavoitteena on jakaa "juuren" voima tiettyihin oikeuksiin, jotta jos prosessia tai binaaria, jolla on yksi tai useampi ominaisuus, hyödynnetään, mahdollinen vahinko on rajoitettu verrattuna samaan prosessiin, joka suoritetaan pääkäyttäjänä.

Ominaisuudet voidaan asettaa prosesseille ja suoritettaville tiedostoille. Prosessi, joka syntyy tiedoston suorittamisesta, voi saada kyseisen tiedoston ominaisuudet.

Linuxissa toteutettuja ominaisuuksia on lukuisia, ja monia on lisätty alkuperäisen julkaisunsa jälkeen. Jotkut niistä ovat seuraavat:

• CAP_CHOWN: Tee muutoksia tiedostojen käyttäjätunnukseen ja ryhmätunnukseen
• CAP_DAC_OVERRIDE: Ohita DAC (Discretionary Access Control). Esimerkiksi vto ohittaa luku-/kirjoitus-/suoritusoikeustarkistukset.
• CAP_KILL: Ohita lupatarkistukset signaalien lähettämiseksi prosesseihin.
• CAP_SYS_NICE: Nosta prosessien mukavuutta ( Selitys mukavuudesta löytyy täältä )
• CAP_SYS_TIME: Aseta järjestelmä ja reaaliaikainen laitteistokello

Saat täydellisen luettelon suorittamalla man 7 capabilities.

Ominaisuudet määritetään ryhmissä, nimittäin "sallittu", "perityttävä", "tehokas" ja "ympäristö" säikeille ja "sallittu", "perityttävä" ja "tehokas" tiedostoille. Nämä joukot määrittelevät erilaisia ​​monimutkaisia ​​käyttäytymismalleja, niiden täydellinen selitys ei kuulu tämän artikkelin piiriin.

Kun määrität tiedostoon ominaisuuksia, käytämme melkein aina "sallittua" ja "tehokasta", esimerkiksi CAP_DAC_OVERRIDE+ep. Huomaa +ep, joka tarkoittaa edellä mainittuja joukkoja.

Työskentely tiedostoominaisuuksien kanssa

Vaaditut paketit

On olemassa kaksi pääasiallista välineitä, getcapja setcapjotka voivat vastaavasti tarkastella ja asettaa näitä ominaisuuksia.

• Debianissa ja Ubuntussa nämä työkalut sisältyvät libcap2-binpakettiin, joka voidaan asentaa:apt install libcap2-bin
• CentOS:ssä ja Fedorassa libcappaketti tarvitaan:yum install libcap
• Arch Linuxissa ne tarjoavat libcapmyös:pacman -S libcap

Lukuominaisuudet

Jos haluat nähdä, onko tiedostolle asetettu ominaisuudet, voit suorittaa getcap /full/path/to/binaryesimerkiksi seuraavan:

 root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

Jos haluat selvittää, mitkä ominaisuudet on jo asetettu järjestelmällesi, voit etsiä koko tiedostojärjestelmästäsi rekursiivisesti seuraavalla komennolla:

getcap -r /

Koska virtuaaliset tiedostojärjestelmät (kuten /proc) eivät tue näitä toimintoja, yllä oleva komento tuottaa tuhansia virheitä, joten käytä seuraavaa puhtaamman tulosteen saamiseksi:

getcap -r / 2>/dev/null 

Ominaisuuksien määrittäminen ja poistaminen

Jos haluat määrittää tiedostolle tietyn ominaisuuden, käytä setcap "capability_string" /path/to/file.

Voit poistaa kaikki ominaisuudet tiedostosta käyttämällä setcap -r /path/to/file.

Esittelyä varten luomme tyhjän tiedoston nykyiseen hakemistoon, annamme sille mahdollisuuden ja poistamme sen. Aloita seuraavalla:

root@demo:~# touch testfile
root@demo:~# getcap testfile

Toinen komento ei tuota tulosta, mikä tarkoittaa, että tällä tiedostolla ei ole mitään ominaisuuksia.

Määritä seuraavaksi tiedostolle ominaisuus:

root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

"CAP_CHOWN+ep" käytettiin esimerkkinä, mutta mikä tahansa muu voidaan määrittää tällä tavalla.

Poista nyt kaikki ominaisuudet kohteesta testfile:

root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

Jälleenkään ei ole tulosta, koska "CAP_CHOWN+ep" poistettiin.

Johtopäätös

Ominaisuuksilla on monia käyttömahdollisuuksia, ja ne voivat auttaa parantamaan järjestelmien turvallisuutta. Jos käytät SUID-bittiä suoritettavissa tiedostoissa, harkitse sen korvaamista tietyllä tarvittavalla ominaisuudella.