Domov » » Delo z zmogljivostmi Linuxa

Delo z zmogljivostmi Linuxa

  • Uvod
  • Predpogoji
  • Pojasnilo
  • Delo z zmožnostmi datotek
  • Zaključek

    • Uvod

    Zmogljivosti Linuxa so posebni atributi v jedru Linuxa, ki procesom in binarnim izvedljivim datotekam dodelijo posebne privilegije, ki so običajno rezervirane za procese, katerih dejanski ID uporabnika je 0 (UID 0 ima root uporabnik in samo root uporabnik).

    Ta članek bo razložil nekatere razpoložljive zmožnosti, njihovo uporabo ter kako jih nastaviti in odstraniti. Upoštevajte, da zmožnosti nastavitve na izvedljivih datotekah lahko ogrozijo varnost vašega sistema. Zato bi morali razmisliti o testiranju na neproizvodnem sistemu, preden uvedete zmogljivosti v produkcijo.

    Predpogoji

    • Sistem Linux, v katerem imate korenski dostop (preko root uporabnika ali uporabnika z dostopom sudo).

    Pojasnilo

    V bistvu je cilj zmožnosti razdeliti moč 'root' na posebne privilegije, tako da je v primeru izkoriščanja procesa ali binarne datoteke, ki ima eno ali več zmožnosti, možna škoda omejena v primerjavi z istim procesom, ki se izvaja kot root.

    Zmogljivosti je mogoče nastaviti za procese in izvedljive datoteke. Proces, ki je rezultat izvajanja datoteke, lahko pridobi zmogljivosti te datoteke.

    Zmogljivosti, ki so implementirane v Linuxu, so številne in mnoge so bile dodane od njihove prvotne izdaje. Nekateri izmed njih so naslednji:

    • CAP_CHOWN: spremenite ID uporabnika in ID skupine datotek
    • CAP_DAC_OVERRIDE: Preglasi DAC (diskrecijski nadzor dostopa). Na primer, vto obide preverjanja dovoljenj za branje/pisanje/izvajanje.
    • CAP_KILL: Preskoči preverjanje dovoljenj za pošiljanje signalov procesom.
    • CAP_SYS_NICE: Dvignite lepoto procesov ( razlago lepote najdete tukaj )
    • CAP_SYS_TIME: nastavite sistemsko in strojno uro realnega časa

    Za celoten seznam zaženite man 7 capabilities.

    Zmogljivosti so dodeljene v nizih, in sicer "dovoljeno", "podedovano", "učinkovito" in "ambientalno" za niti ter "dovoljeno", "podedovano" in "učinkovito" za datoteke. Ti nizi opredeljujejo različna kompleksna vedenja, njihova popolna razlaga presega obseg tega članka.

    Pri nastavljanju zmogljivosti v datoteki bomo skoraj vedno uporabili na primer "dovoljeno" in "učinkovito" CAP_DAC_OVERRIDE+ep. Upoštevajte +ep, ki označuje prej omenjene množice.

    Delo z zmožnostmi datotek

    Zahtevani paketi

    Obstajata dve glavni orodji, getcapin setcapki lahko oziroma ogled in določiti atribute.

    • V Debianu in Ubuntuju ta orodja ponuja libcap2-binpaket, ki ga je mogoče namestiti z:apt install libcap2-bin
    • Na CentOS in Fedora libcapje potreben paket:yum install libcap
    • V Arch Linuxu jih ponujajo libcaptudi:pacman -S libcap

    Bralne zmogljivosti

    Če si želite ogledati, ali ima datoteka nastavljene zmogljivosti, lahko preprosto zaženete getcap /full/path/to/binary, na primer:

     root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

    Če želite izvedeti, katere zmogljivosti so že nastavljene v vašem sistemu, lahko rekurzivno iščete po celotnem datotečnem sistemu z naslednjim ukazom:

    getcap -r /

    Ker navidezni datotečni sistemi (kot je /proc) ne podpirajo teh operacij, bo zgornji ukaz povzročil na tisoče napak, zato za čistejši izhod uporabite naslednje:

    getcap -r / 2>/dev/null

    Dodeljevanje in odstranjevanje zmogljivosti

    Če želite nastaviti določeno zmožnost datoteke, uporabite setcap "capability_string" /path/to/file.

    Če želite odstraniti vse zmogljivosti iz datoteke, uporabite setcap -r /path/to/file.

    Za demonstracijo bomo v trenutnem imeniku ustvarili prazno datoteko, ji dali zmožnost in jo odstranili. Začnite z naslednjim:

    root@demo:~# touch testfile
root@demo:~# getcap testfile

    Drugi ukaz ne proizvede nobenega izhoda, kar pomeni, da ta datoteka nima nobene zmožnosti.

    Nato nastavite zmožnost za datoteko:

    root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

    Kot primer je bil uporabljen "CAP_CHOWN+ep", na ta način pa je mogoče dodeliti katero koli drugo.

    Zdaj odstranite vse zmogljivosti iz testfile:

    root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

    Spet ne bo nobenega izhoda, ker je bil "CAP_CHOWN+ep" odstranjen.

    Zaključek

    Zmogljivosti imajo veliko potencialnih uporab in lahko pomagajo okrepiti varnost vaših sistemov. Če uporabljate bit SUID na svojih izvedljivih datotekah, razmislite o zamenjavi s potrebno posebno zmogljivostjo.

    Vodniki za Linux, Varnost, Skrbnik sistema

    Pusti komentar

    Vzpon strojev: aplikacije AI v resničnem svetu

    Vzpon strojev: aplikacije AI v resničnem svetu

    Umetna inteligenca ni v prihodnosti, tukaj je prav v sedanjosti. V tem blogu preberite, kako so aplikacije umetne inteligence vplivale na različne sektorje.

    DDOS napadi: kratek pregled

    DDOS napadi: kratek pregled

    Ste tudi vi žrtev DDOS napadov in ste zmedeni glede načinov preprečevanja? Preberite ta članek, če želite rešiti svoja vprašanja.

    Ste se kdaj vprašali, kako hekerji zaslužijo denar?

    Ste se kdaj vprašali, kako hekerji zaslužijo denar?

    Morda ste že slišali, da hekerji zaslužijo veliko denarja, a ste se kdaj vprašali, kako zaslužijo takšen denar? razpravljajmo.

    Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.

    Revolucionarni Googlovi izumi, ki vam bodo olajšali življenje.

    Ali želite videti revolucionarne izume Googla in kako so ti izumi danes spremenili življenje vsakega človeka? Nato preberite v blogu in si oglejte Googlove izume.

    Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?

    Friday Essential: Kaj se je zgodilo z avtomobili, ki jih poganja umetna inteligenca?

    Koncept samovozečih avtomobilov, ki zapeljejo na ceste s pomočjo umetne inteligence, so sanje, ki jih imamo že nekaj časa. A kljub številnim obljubam jih ni nikjer. Preberite ta blog, če želite izvedeti več…

    Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?

    Tehnološka singularnost: oddaljena prihodnost človeške civilizacije?

    Ker se znanost hitro razvija in prevzame veliko naših prizadevanj, se povečuje tudi tveganje, da se podvržemo nerazložljivi singularnosti. Preberite, kaj bi za nas lahko pomenila singularnost.

    Funkcionalnosti slojev referenčne arhitekture velikih podatkov

    Funkcionalnosti slojev referenčne arhitekture velikih podatkov

    Preberite blog, če želite na najpreprostejši način spoznati različne plasti v arhitekturi velikih podatkov in njihove funkcionalnosti.

    Razvoj shranjevanja podatkov – Infografika

    Razvoj shranjevanja podatkov – Infografika

    Metode shranjevanja podatkov so se lahko razvijale od rojstva podatkov. Ta blog pokriva razvoj shranjevanja podatkov na podlagi infografike.

    6 neverjetnih prednosti pametnih naprav za dom v našem življenju

    6 neverjetnih prednosti pametnih naprav za dom v našem življenju

    V tem digitalno vodenem svetu so pametne naprave za dom postale ključni del življenja. Tukaj je nekaj neverjetnih prednosti pametnih naprav za dom o tem, kako naredijo naše življenje vredno življenja in poenostavijo.

    Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje

    Posodobitev dodatka macOS Catalina 10.15.4 povzroča več težav kot jih rešuje

    Pred kratkim je Apple izdal macOS Catalina 10.15.4 dopolnilno posodobitev za odpravo težav, vendar se zdi, da posodobitev povzroča več težav, ki vodijo do opečenja računalnikov Mac. Preberite ta članek, če želite izvedeti več