Darbas su Linux galimybėmis

Įvadas

„Linux“ galimybės yra specialūs „Linux“ branduolio atributai, suteikiantys procesams ir dvejetainiams vykdomiesiems failams specifines privilegijas, kurios paprastai rezervuojamos procesams, kurių efektyvus vartotojo ID yra 0 (root naudotojas ir tik šakninis vartotojas turi UID 0).

Šiame straipsnyje bus paaiškintos kai kurios galimos galimybės, jų naudojimas ir kaip jas nustatyti bei pašalinti. Atkreipkite dėmesį, kad nustačius vykdomųjų failų galimybes, gali kilti pavojus jūsų sistemos saugumui. Todėl prieš diegdami gamybos galimybes turėtumėte apsvarstyti galimybę išbandyti ne gamybinę sistemą.

Būtinos sąlygos

• Linux sistema, kurioje turite root prieigą (per root naudotoją arba vartotoją, turintį sudo prieigą).

Paaiškinimas

Iš esmės galimybių tikslas yra padalyti „root“ galią į konkrečias privilegijas, kad išnaudojus procesą ar dvejetainį elementą, turintį vieną ar daugiau galimybių, galima žala būtų ribota, palyginti su tuo pačiu procesu, veikiančiu kaip root.

Galimybes galima nustatyti procesams ir vykdomiesiems failams. Procesas, atsirandantis vykdant failą, gali įgyti to failo galimybes.

„Linux“ įdiegtų galimybių yra daug ir daugelis jų buvo pridėtos nuo pirminio išleidimo. Kai kurie iš jų yra tokie:

• CAP_CHOWN: pakeiskite failų vartotojo ID ir grupės ID
• CAP_DAC_OVERRIDE: nepaisyti DAC (diskrecinės prieigos kontrolės). Pavyzdžiui, vto apeina skaitymo/rašymo/vykdymo leidimų patikras.
• CAP_KILL: apeiti signalų siuntimo procesams leidimo patikras.
• CAP_SYS_NICE: Padidinkite procesų malonumą ( Gražumo paaiškinimą rasite čia )
• CAP_SYS_TIME: Nustatykite sistemos ir realaus laiko aparatūros laikrodį

Norėdami pamatyti visą sąrašą, paleiskite man 7 capabilities.

Galimybės priskiriamos rinkiniams, būtent „leistina“, „paveldima“, „efektyvi“ ir „aplinkos“ gijomis, o „leidžiama“, „paveldima“ ir „veiksminga“ failams. Šie rinkiniai apibrėžia skirtingą sudėtingą elgesį, jų išsamus paaiškinimas nepatenka į šio straipsnio taikymo sritį.

Kai faile nustatome galimybes, beveik visada naudosime „leidžiama“ ir „veiksminga“, pavyzdžiui, CAP_DAC_OVERRIDE+ep. Atkreipkite dėmesį į +ep, kuris žymi pirmiau minėtus rinkinius.

Darbas su failų galimybėmis

Reikalingi paketai

Yra du pagrindiniai įrankiai, getcapir setcapkuri gali atitinkamai peržiūrėti ir nustatyti šiuos atributus.

• „Debian“ ir „Ubuntu“ šiuos įrankius teikia libcap2-binpaketas, kurį galima įdiegti kartu su:apt install libcap2-bin
• „CentOS“ ir „Fedora“ libcappaketas reikalingas:yum install libcap
• „Arch Linux“ juos taip pat teikia libcap:pacman -S libcap

Skaitymo galimybės

Norėdami peržiūrėti, ar failas turi kokių nors galimybių, galite tiesiog paleisti getcap /full/path/to/binary, pavyzdžiui:

 root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

Jei norite sužinoti, kurios galimybės jau nustatytos jūsų sistemoje, galite rekursyviai ieškoti visoje failų sistemoje naudodami šią komandą:

getcap -r /

Dėl to, kad virtualios failų sistemos (pvz., /proc) nepalaiko šių operacijų, aukščiau pateikta komanda sukels tūkstančius klaidų, todėl norėdami gauti švaresnę išvestį, naudokite šiuos veiksmus:

getcap -r / 2>/dev/null 

Galimybių priskyrimas ir pašalinimas

Norėdami nustatyti tam tikrą failo funkciją, naudokite setcap "capability_string" /path/to/file.

Norėdami pašalinti visas failo galimybes, naudokite setcap -r /path/to/file.

Norėdami parodyti, dabartiniame kataloge sukursime tuščią failą, suteiksime jam galimybę ir pašalinsime. Pradėkite nuo šių dalykų:

root@demo:~# touch testfile
root@demo:~# getcap testfile

Antroji komanda neduoda jokios išvesties, tai reiškia, kad šis failas neturi jokių galimybių.

Tada nustatykite failo galimybę:

root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

„CAP_CHOWN+ep“ buvo naudojamas kaip pavyzdys, bet bet kuris kitas gali būti priskirtas tokiu būdu.

Dabar pašalinkite visas galimybes iš testfile:

root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

Vėlgi, išvesties nebus, nes „CAP_CHOWN+ep“ buvo pašalintas.

Išvada

Galimybės gali būti naudojamos daugybe galimybių ir gali padėti sustiprinti jūsų sistemų saugumą. Jei savo vykdomuosiuose failuose naudojate SUID bitą, apsvarstykite galimybę jį pakeisti konkrečia reikalinga funkcija.