Domov » » Práca s možnosťami Linuxu

Práca s možnosťami Linuxu

  • Úvod
  • Predpoklady
  • Vysvetlenie
  • Práca s možnosťami súborov
  • Záver

    • Úvod

    Možnosti Linuxu sú špeciálne atribúty v jadre Linuxu, ktoré prideľujú procesom a binárnym spustiteľným súborom špecifické privilégiá, ktoré sú normálne vyhradené pre procesy, ktorých efektívne ID užívateľa je 0 (užívateľ root a iba užívateľ root má UID 0).

    Tento článok vysvetlí niektoré dostupné funkcie, ich použitie a ako ich nastaviť a odstrániť. Upozorňujeme, že nastavenie možností na spustiteľných súboroch môže ohroziť bezpečnosť vášho systému. Pred implementáciou funkcií do výroby by ste preto mali zvážiť testovanie na neprodukčnom systéme.

    Predpoklady

    • Systém Linux, ku ktorému máte prístup typu root (buď prostredníctvom používateľa root alebo používateľa s prístupom sudo).

    Vysvetlenie

    Cieľom schopností je v podstate rozdeliť silu „root“ na špecifické privilégiá, takže ak sa využije proces alebo binárny súbor, ktorý má jednu alebo viacero schopností, potenciálne poškodenie je obmedzené v porovnaní s rovnakým procesom, ktorý beží ako root.

    Schopnosti možno nastaviť na procesy a spustiteľné súbory. Proces, ktorý je výsledkom vykonania súboru, môže získať schopnosti tohto súboru.

    Možnosti implementované v systéme Linux sú početné a mnohé z nich boli pridané od ich pôvodného vydania. Niektoré z nich sú nasledovné:

    • CAP_CHOWN: Vykonajte zmeny v ID používateľa a ID skupiny súborov
    • CAP_DAC_OVERRIDE: Prepíše DAC (Discretionary Access Control). Napríklad vto obísť kontroly povolení na čítanie/zápis/vykonávanie.
    • CAP_KILL: Obíďte kontroly povolení na odosielanie signálov procesom.
    • CAP_SYS_NICE: Zvýšte príjemnosť procesov ( Vysvetlenie slušnosti nájdete tu )
    • CAP_SYS_TIME: Nastavenie systémových a hardvérových hodín v reálnom čase

    Pre úplný zoznam spustite man 7 capabilities.

    Schopnosti sa priraďujú v súboroch, a to „povolené“, „dedičné“, „efektívne“ a „okolité“ pre vlákna a „povolené“, „dedičné“ a „efektívne“ pre súbory. Tieto súbory definujú rôzne komplexné správanie, ich úplné vysvetlenie presahuje rámec tohto článku.

    Pri nastavovaní možností v súbore budeme takmer vždy používať „povolené“ a „účinné“, napríklad CAP_DAC_OVERRIDE+ep. Všimnite si +ep, ktorý označuje vyššie uvedené sady.

    Práca s možnosťami súborov

    Požadované balíčky

    Existujú dva hlavné nástroje, getcapa setcapktorý môže v tomto poradí zobraziť a nastaviť tieto atribúty.

    • Na Debiane a Ubuntu sú tieto nástroje poskytované libcap2-binbalíkom, ktorý je možné nainštalovať s:apt install libcap2-bin
    • Na CentOS a Fedore libcapje potrebný balík:yum install libcap
    • Na Arch Linuxe ich poskytuje libcapaj:pacman -S libcap

    Možnosti čítania

    Ak chcete zistiť, či má súbor nastavenú nejakú schopnosť, môžete jednoducho spustiť getcap /full/path/to/binary, napríklad:

     root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

    Ak by ste chceli zistiť, ktoré možnosti sú už vo vašom systéme nastavené, môžete rekurzívne prehľadať celý súborový systém pomocou nasledujúceho príkazu:

    getcap -r /

    Vzhľadom na skutočnosť, že virtuálne súborové systémy (napríklad /proc) nepodporujú tieto operácie, príkaz uvedený vyššie spôsobí tisíce chýb, takže pre čistejší výstup použite nasledovné:

    getcap -r / 2>/dev/null

    Priraďovanie a odstraňovanie schopností

    Ak chcete nastaviť konkrétnu schopnosť súboru, použite setcap "capability_string" /path/to/file.

    Ak chcete zo súboru odstrániť všetky funkcie, použite setcap -r /path/to/file.

    Pre demonštráciu vytvoríme prázdny súbor v aktuálnom adresári, dáme mu možnosť a odstránime ho. Začnite s nasledujúcim:

    root@demo:~# touch testfile
root@demo:~# getcap testfile

    Druhý príkaz nevytvára žiadny výstup, čo znamená, že tento súbor nemá žiadnu schopnosť.

    Ďalej nastavte schopnosť súboru:

    root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

    Ako príklad sa použilo „CAP_CHOWN+ep“, ale týmto spôsobom možno priradiť ľubovoľné iné.

    Teraz odstráňte všetky možnosti z testfile:

    root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

    Opäť nebude výstup, pretože „CAP_CHOWN+ep“ bolo odstránené.

    Záver

    Schopnosti majú mnoho potenciálnych použití a môžu pomôcť zvýšiť bezpečnosť vašich systémov. Ak vo svojich spustiteľných súboroch používate bit SUID, zvážte jeho nahradenie špecifickou potrebnou funkciou.

    Zanechať komentár

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Umelá inteligencia nie je v budúcnosti, je tu priamo v súčasnosti V tomto blogu si prečítajte, ako aplikácie umelej inteligencie ovplyvnili rôzne sektory.

    Útoky DDOS: Stručný prehľad

    Útoky DDOS: Stručný prehľad

    Ste aj vy obeťou DDOS útokov a máte zmätok ohľadom metód prevencie? Ak chcete vyriešiť svoje otázky, prečítajte si tento článok.

    Zaujímalo vás niekedy, ako hackeri zarábajú peniaze?

    Zaujímalo vás niekedy, ako hackeri zarábajú peniaze?

    Možno ste už počuli, že hackeri zarábajú veľa peňazí, ale premýšľali ste niekedy nad tým, ako môžu zarábať také peniaze? poďme diskutovať.

    Revolučné vynálezy od spoločnosti Google, ktoré vám uľahčia život.

    Revolučné vynálezy od spoločnosti Google, ktoré vám uľahčia život.

    Chcete vidieť revolučné vynálezy od Google a ako tieto vynálezy zmenili život každého dnešného človeka? Potom si prečítajte na blogu a pozrite si vynálezy spoločnosti Google.

    Piatok Essential: Čo sa stalo s autami poháňanými AI?

    Piatok Essential: Čo sa stalo s autami poháňanými AI?

    Koncept samoriadených áut vyraziť na cesty s pomocou umelej inteligencie je snom, ktorý máme už nejaký čas. Ale napriek niekoľkým prísľubom ich nikde nevidno. Prečítajte si tento blog a dozviete sa viac…

    Technologická singularita: vzdialená budúcnosť ľudskej civilizácie?

    Technologická singularita: vzdialená budúcnosť ľudskej civilizácie?

    Ako sa veda vyvíja rýchlym tempom a preberá veľa nášho úsilia, zvyšuje sa aj riziko, že sa vystavíme nevysvetliteľnej singularite. Prečítajte si, čo pre nás môže znamenať singularita.

    Funkcionality vrstiev referenčnej architektúry veľkých dát

    Funkcionality vrstiev referenčnej architektúry veľkých dát

    Prečítajte si blog, aby ste čo najjednoduchším spôsobom spoznali rôzne vrstvy architektúry veľkých dát a ich funkcie.

    Vývoj ukladania dát – Infografika

    Vývoj ukladania dát – Infografika

    Spôsoby ukladania údajov sa môžu vyvíjať už od zrodu údajov. Tento blog sa zaoberá vývojom ukladania údajov na základe infografiky.

    6 úžasných výhod toho, že máme v živote inteligentné domáce zariadenia

    6 úžasných výhod toho, že máme v živote inteligentné domáce zariadenia

    V tomto digitálnom svete sa inteligentné domáce zariadenia stali kľúčovou súčasťou života. Tu je niekoľko úžasných výhod inteligentných domácich zariadení o tom, ako robia náš život, ktorý stojí za to žiť, a ktorý zjednodušujú.

    Aktualizácia doplnku macOS Catalina 10.15.4 spôsobuje viac problémov, ako ich rieši

    Aktualizácia doplnku macOS Catalina 10.15.4 spôsobuje viac problémov, ako ich rieši

    Spoločnosť Apple nedávno vydala doplnkovú aktualizáciu macOS Catalina 10.15.4 na opravu problémov, ale zdá sa, že táto aktualizácia spôsobuje ďalšie problémy, ktoré vedú k blokovaniu počítačov Mac. Prečítajte si tento článok a dozviete sa viac