OpenWrt系统安全改进<五> --- Web 访问权限分级

摘要

OpenWrt系统安全改进<四>中介绍的只是在UI层面对用户进行访问控制,对于深层次非法操作并不能起到保护效果。本节介绍针对不同的用户登录请求,使用不同用户启动luci进程,从而实现不同用户进行操作级别的访问控制。

机制分析

web页面操作涉及到uhttpd和luci两个模块,uhttpd处理http报文,将cgi请求转给luci处理。从代码实现就可以看出这两个模块目前只是针对单用户:

1 uhttpd在初始化时,由root用户启动,在调用cgi请求时,使用execl调用luci

2 luci的cache内容只保留一份。

在本实践中,创建admin(归为root用户组)和user两个用户,当uhttpd接收到登陆请求包,判断用户是否发生变化,如果是就清除luci的cache(否则luci会执行出错),使用su启动luci进程。

准备工作 

创建用户和用户组,相关的脚本(可执行文件)针对不同用户组分配不同的权限。

(注意:busybox中的ash和sh需要能够被所有用户可以执行,我采用了两份busybox,ash/sh link到所有用户可执行的busybox,其他link到只有同组用户可执行的busybox)

使能busybox的su

使能web ui的多用户登陆

具体操作可以参见OpenWrt系统安全改进<一>

实现不同用户身份执行luci

--- a/uhttpd.c
+++ b/uhttpd.c
@@ -243,6 +243,64 @@
        return bound;
 }

+#ifndef MULTI_USER
+extern void MU_dbg(char *info);
+void MU_dbg(char *info)
+{
+    #if 0
+    int fd = open("/debug",O_RDWR|O_APPEND);
+    char buf[128] = {0};
+    int len = strlen(info);
+
+    if (fd<0) {
+        fd = open("/debug",O_CREAT|O_RDWR);
+    }
+
+    memcpy(buf,info,len);
+    buf[len] = '\n';
+
+    write(fd,buf,len+1);
+    close(fd);
+    #endif
+}
+
+static char CUR_USER[32] = {0};
+
+extern void get_cur_user(char *user);
+void get_cur_user(char *user) {
+    if ( strlen(CUR_USER)==0 ) {
+        MU_dbg("CUR_USER empty");
+        strcpy(user,"admin");
+    } else {
+        memcpy(user,CUR_USER,strlen(CUR_USER));
+    }
+}
+
+static void MU_get_user(const struct client *cl, char *user) {
+    char *usrhead = cl->httpbuf.ptr;
+    char *pwdhead = strfind(usrhead,strlen(usrhead),"&password=",strlen("&password="));
+
+    usrhead += strlen("username=");
+    memcpy( user, usrhead, pwdhead-usrhead );
+
+    MU_dbg(user);
+}
+
+static void MU_clear_luci_cache() {
+    int ret = 0;
+
+    ret = system("echo clear cache > /tmp/luci_action");
+    ret = system("rm -Rf /tmp/luci-*");
+    if ( ret == -1 ) {
+        system("echo fail >> /debug");
+    } else if ( ret==0 ) {
+        system("echo ignore >> /debug");
+    } else {
+        system("echo finish >> /debug");
+    }
+}
+#endif
+
 static struct http_request * uh_http_header_parse(struct client *cl,
                                                                                 char *buffer, int buflen)
 {
@@ -281,7 +339,21 @@
                if (method && !strcmp(method, "GET"))
                        req->method = UH_HTTP_MSG_GET;
                else if (method && !strcmp(method, "POST"))
-                       req->method = UH_HTTP_MSG_POST;
+               #ifndef MULTI_USER
+        {
+            char user[32] = {0};
+
+            MU_get_user(cl,user);
+            if( strncmp(user,CUR_USER,4)!=0 ) {
+                MU_clear_luci_cache();
+            }
+            memcpy(CUR_USER,user,32);
+
+            req->method = UH_HTTP_MSG_POST;
+        }
+        #else
+            req->method = UH_HTTP_MSG_POST;
+        #endif
                else if (method && !strcmp(method, "HEAD"))
                        req->method = UH_HTTP_MSG_HEAD;
                else
--- a/uhttpd-cgi.c
+++ b/uhttpd-cgi.c
@@ -486,12 +486,32 @@
                        if (chdir(pi->root))
                                perror("chdir()");

+            #ifndef MULTI_USER
+            {
+                extern void get_cur_user(char *user);
+                extern void MU_dbg(char *info);
+
+                char user[32] = {0};
+                char info[32] = {0};
+
+                get_cur_user(user);
+
+                sprintf(info,"exec via %s",user);
+                MU_dbg(info);
+
+                if (ip!=NULL) {
+                    execl("/bin/su","su",user,"-c",ip->path,pi->phys,NULL);
+                } else {
+                    execl("/bin/su","su",user,"-c",pi->phys,NULL);
+                }
+            }
+            #else
                        if (ip != NULL)
-                               execl(ip->path, ip->path, pi->phys, NULL);
-                       else
+                               execl(ip->path, ip->path, pi->phys, NULL);
+            else
                                execl(pi->phys, pi->phys, NULL);
-
-                       /* in case it fails ... */
+            #endif
+            /* in case it fails ... */
                        printf("Status: 500 Internal Server Error\r\n\r\n"
                                   "Unable to launch the requested CGI program:\n"
                                   "  %s: %s\n", ip ? ip->path : pi->phys, strerror(errno));

实现admin执行UCI修改

完成上步操作后,使用不同用户登录可以根据用户执行LuCI,但是admin和user都只能查询UCI相关的一些配置,而我期望的admin能够修改配置。

经过一些尝试,发现仅仅为admin赋予uci的执行权限和相关配置文件的写权限扔不能执行UCI修改操作(uci set/commit)。

我希望修改的配置是通过UCI Map来进行修改的,修改usr/lib/lua/luci/cbi.lua文件的Map.set和Map.parse,使用su权限来执行uci set 和 commit。

后续工作

目前实现虽然支持了多用户的操作权限控制,但是对于用户切换时访问效率低,后续可以修改luci,针对每个用户创建一份cache。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值