Hem » » Arbeta med Linux-funktioner

Arbeta med Linux-funktioner

  • Introduktion
  • Förutsättningar
  • Förklaring
  • Arbeta med filfunktioner
  • Slutsats

    • Introduktion

    Linux-funktioner är speciella attribut i Linux-kärnan som ger processer och binära körbara specifika privilegier som normalt är reserverade för processer vars effektiva användar-ID är 0 (rotanvändaren, och endast rotanvändaren, har UID 0).

    Den här artikeln kommer att förklara några av de tillgängliga funktionerna, deras användning och hur man ställer in och tar bort dem. Observera att inställningsmöjligheter på körbara filer har potential att äventyra säkerheten för ditt system. Som sådan bör du överväga att testa på ett icke-produktionssystem innan du implementerar funktioner i produktionen.

    Förutsättningar

    • Ett Linux-system som du har root-åtkomst på (antingen via root-användaren eller en användare med sudo-åtkomst).

    Förklaring

    I grund och botten är målet med kapacitet att dela upp kraften i "root" i specifika privilegier, så att om en process eller binär som har en eller flera kapacitet utnyttjas, är den potentiella skadan begränsad jämfört med samma process som körs som root.

    Funktioner kan ställas in på processer och körbara filer. En process som är ett resultat av exekveringen av en fil kan få kapaciteten för den filen.

    Möjligheterna implementerade på Linux är många, och många har lagts till sedan den ursprungliga releasen. Några av dem är följande:

    • CAP_CHOWN: Gör ändringar i användar-ID och grupp-ID för filer
    • CAP_DAC_OVERRIDE: Åsidosätt DAC (Discretionary Access Control). Till exempel, vto kringgå läs/skriv/kör behörighetskontroller.
    • CAP_KILL: Förbigå behörighetskontroller för att skicka signaler till processer.
    • CAP_SYS_NICE: Öka snällheten i processer ( En förklaring av snällheten finns här )
    • CAP_SYS_TIME: Ställ in system- och maskinvaruklockan i realtid

    För hela listan, kör man 7 capabilities.

    Funktioner tilldelas i uppsättningar, nämligen "tillåten", "ärvbar", "effektiv" och "omgivande" för trådar och "tillåten", "ärvbar" och "effektiv" för filer. Dessa uppsättningar definierar olika komplexa beteenden, deras fullständiga förklaring ligger utanför ramen för denna artikel.

    När vi ställer in funktioner på fil kommer vi nästan alltid att använda "tillåten" och "effektiv", till exempel CAP_DAC_OVERRIDE+ep. Lägg märke till +ep, som betecknar de tidigare nämnda uppsättningarna.

    Arbeta med filfunktioner

    Nödvändiga paket

    Det finns två huvudverktyg, getcapoch setcapsom kan se respektive ställa in dessa attribut.

    • På Debian och Ubuntu tillhandahålls dessa verktyg av libcap2-binpaketet, som kan installeras med:apt install libcap2-bin
    • På CentOS och Fedora libcapbehövs paketet:yum install libcap
    • På Arch Linux tillhandahålls de också av libcap:pacman -S libcap

    Läsförmåga

    För att se om en fil har någon funktionsuppsättning kan du helt enkelt köra getcap /full/path/to/binary, till exempel:

     root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

    Om du vill ta reda på vilka funktioner som redan är inställda på ditt system kan du söka i hela filsystemet rekursivt med följande kommando:

    getcap -r /

    På grund av det faktum att virtuella filsystem (som /proc) inte stöder dessa operationer, kommer kommandot ovan att producera tusentals fel, så för en renare utdata, använd följande:

    getcap -r / 2>/dev/null

    Tilldela och ta bort funktioner

    Använd setcap "capability_string" /path/to/file.

    För att ta bort alla funktioner från en fil, använd setcap -r /path/to/file.

    För demonstration skapar vi en tom fil i den aktuella katalogen, ger den en möjlighet och tar bort den. Börja med följande:

    root@demo:~# touch testfile
root@demo:~# getcap testfile

    Det andra kommandot producerar ingen utdata, vilket betyder att den här filen inte har någon kapacitet.

    Ställ sedan in en funktion för filen:

    root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

    "CAP_CHOWN+ep" användes som ett exempel, men alla andra kan tilldelas på detta sätt.

    Ta nu bort alla funktioner från testfile:

    root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

    Återigen kommer det inte att finnas någon utdata, eftersom "CAP_CHOWN+ep" togs bort.

    Slutsats

    Funktioner har många potentiella användningsområden och kan hjälpa till att skärpa säkerheten för dina system. Om du använder SUID-biten på dina körbara filer, överväg att ersätta den med den specifika kapacitet som behövs.

    Lämna en kommentar

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Artificiell intelligens är inte i framtiden, det är här i nuet I den här bloggen Läs hur Artificiell intelligens-applikationer har påverkat olika sektorer.

    DDOS-attacker: En kort översikt

    DDOS-attacker: En kort översikt

    Är du också ett offer för DDOS-attacker och förvirrad över de förebyggande metoderna? Läs den här artikeln för att lösa dina frågor.

    Har du någonsin undrat hur hackare tjänar pengar?

    Har du någonsin undrat hur hackare tjänar pengar?

    Du kanske har hört att hackare tjänar mycket pengar, men har du någonsin undrat hur de tjänar den typen av pengar? låt oss diskutera.

    Revolutionerande uppfinningar från Google som gör ditt liv lätt.

    Revolutionerande uppfinningar från Google som gör ditt liv lätt.

    Vill du se revolutionerande uppfinningar av Google och hur dessa uppfinningar förändrade livet för varje människa idag? Läs sedan till bloggen för att se uppfinningar av Google.

    Fredag ​​Essential: Vad hände med AI-drivna bilar?

    Fredag ​​Essential: Vad hände med AI-drivna bilar?

    Konceptet med att självkörande bilar ska ut på vägarna med hjälp av artificiell intelligens är en dröm vi har ett tag nu. Men trots flera löften finns de ingenstans att se. Läs den här bloggen för att lära dig mer...

    Technological Singularity: A Distant Future of Human Civilization?

    Technological Singularity: A Distant Future of Human Civilization?

    När vetenskapen utvecklas i snabb takt och tar över en hel del av våra ansträngningar, ökar också riskerna för att utsätta oss för en oförklarlig singularitet. Läs, vad singularitet kan betyda för oss.

    Funktioner för Big Data Reference Architecture Layers

    Funktioner för Big Data Reference Architecture Layers

    Läs bloggen för att känna till olika lager i Big Data Architecture och deras funktionaliteter på enklaste sätt.

    Utveckling av datalagring – Infographic

    Utveckling av datalagring – Infographic

    Lagringsmetoderna för data har utvecklats kan vara sedan födelsen av data. Den här bloggen tar upp utvecklingen av datalagring på basis av en infografik.

    6 fantastiska fördelar med att ha smarta hemenheter i våra liv

    6 fantastiska fördelar med att ha smarta hemenheter i våra liv

    I denna digitala värld har smarta hemenheter blivit en avgörande del av livet. Här är några fantastiska fördelar med smarta hemenheter om hur de gör vårt liv värt att leva och enklare.

    macOS Catalina 10.15.4 tilläggsuppdatering orsakar fler problem än att lösa

    macOS Catalina 10.15.4 tilläggsuppdatering orsakar fler problem än att lösa

    Nyligen släppte Apple macOS Catalina 10.15.4, en tilläggsuppdatering för att åtgärda problem, men det verkar som om uppdateringen orsakar fler problem som leder till att mac-datorer blir murade. Läs den här artikeln för att lära dig mer