Darbs ar Linux iespējām

Ievads

Linux iespējas ir īpaši atribūti Linux kodolā, kas piešķir procesiem un binārajiem izpildāmajiem failiem īpašas privilēģijas, kas parasti ir rezervētas procesiem, kuru efektīvais lietotāja ID ir 0 (saknes lietotājam un tikai saknes lietotājam ir UID 0).

Šajā rakstā ir izskaidrotas dažas pieejamās iespējas, to lietojums un to iestatīšana un noņemšana. Lūdzu, ņemiet vērā, ka izpildāmo failu iespēju iestatīšana var apdraudēt jūsu sistēmas drošību. Tāpēc pirms iespēju ieviešanas ražošanā apsveriet iespēju testēt ar ražošanu nesaistītu sistēmu.

Priekšnoteikumi

• Linux sistēma, kurai jums ir root piekļuve (izmantojot root lietotāju vai lietotāju ar sudo piekļuvi).

Paskaidrojums

Būtībā iespēju mērķis ir sadalīt “saknes” spēku īpašās privilēģijās, lai, ja tiek izmantots process vai binārs, kuram ir viena vai vairākas iespējas, iespējamais kaitējums ir ierobežots, salīdzinot ar to pašu procesu, kas darbojas kā root.

Iespējas var iestatīt procesiem un izpildāmajiem failiem. Process, kas rodas faila izpildes rezultātā, var iegūt šī faila iespējas.

Operētājsistēmā Linux ieviestās iespējas ir daudzas, un daudzas ir pievienotas kopš sākotnējās izlaišanas. Daži no tiem ir šādi:

• CAP_CHOWN: veiciet izmaiņas failu lietotāja ID un grupas ID
• CAP_DAC_OVERRIDE: ignorēt DAC (diskrecionārā piekļuves kontrole). Piemēram, vto apiet lasīšanas/rakstīšanas/izpildīšanas atļaujas pārbaudes.
• CAP_KILL: apiet atļauju pārbaudes, lai nosūtītu signālus procesiem.
• CAP_SYS_NICE: Paaugstināt procesu jaukumu ( Skaistuma skaidrojumu var atrast šeit )
• CAP_SYS_TIME: iestatiet sistēmas un reāllaika aparatūras pulksteni

Lai iegūtu pilnu sarakstu, palaidiet man 7 capabilities.

Iespējas tiek piešķirtas kopās, proti, "atļauts", "mantojams", "efektīvs" un "apkārtējais" pavedieniem un "atļauts", "mantojams" un "efektīvs" failiem. Šīs kopas definē dažādas sarežģītas uzvedības, to pilnīgs skaidrojums ir ārpus šī raksta darbības jomas.

Iestatot failā iespējas, mēs gandrīz vienmēr izmantosim “atļauts” un “efektīvs”, piemēram, CAP_DAC_OVERRIDE+ep. Ievērojiet +ep, kas apzīmē iepriekš minētās kopas.

Darbs ar failu iespējām

Nepieciešamās paketes

Ir divi galvenie instrumenti, getcapun setcapkas var attiecīgi apskatīt un noteikt šos atribūtus.

• Debian un Ubuntu šos rīkus nodrošina libcap2-binpakotne, kuru var instalēt kopā ar:apt install libcap2-bin
• CentOS un Fedora libcappakotne ir nepieciešama:yum install libcap
• Operētājsistēmā Arch Linux tos nodrošina libcaparī:pacman -S libcap

Lasīšanas iespējas

Lai redzētu, vai failam ir iestatītas iespējas, varat vienkārši palaist getcap /full/path/to/binary, piemēram:

 root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

Ja vēlaties uzzināt, kuras iespējas jau ir iestatītas jūsu sistēmā, varat rekursīvi meklēt visā failu sistēmā, izmantojot šādu komandu:

getcap -r /

Tā kā virtuālās failu sistēmas (piemēram, /proc) neatbalsta šīs darbības, iepriekš minētā komanda radīs tūkstošiem kļūdu, tāpēc tīrākai izvadei izmantojiet:

getcap -r / 2>/dev/null 

Iespējas piešķiršana un noņemšana

Lai failā iestatītu noteiktu iespēju, izmantojiet setcap "capability_string" /path/to/file.

Lai no faila noņemtu visas iespējas, izmantojiet setcap -r /path/to/file.

Demonstrēšanai mēs izveidosim tukšu failu pašreizējā direktorijā, piešķirsim tam iespēju un noņemsim to. Sāciet ar sekojošo:

root@demo:~# touch testfile
root@demo:~# getcap testfile

Otrā komanda nerada izvadi, kas nozīmē, ka šim failam nav nekādu iespēju.

Pēc tam iestatiet faila iespēju:

root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

"CAP_CHOWN+ep" tika izmantots kā piemērs, bet jebkuru citu var piešķirt šādā veidā.

Tagad noņemiet visas iespējas no testfile:

root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

Atkal nebūs izvades, jo "CAP_CHOWN+ep" tika noņemts.

Secinājums

Iespējas var izmantot daudzos veidos, un tās var palīdzēt uzlabot jūsu sistēmu drošību. Ja savos izpildāmajos failos izmantojat SUID bitu, apsveriet iespēju to aizstāt ar īpašu nepieciešamo iespēju.