LWN:无特权的chroot() !

最新推荐文章于 2024-05-20 09:57:10 发布
最新推荐文章于 2024-05-20 09:57:10 发布
阅读量295 收藏 1
点赞数
文章标签: python linux 编程语言
原文链接:https://lwn.net/Articles/849125/
版权

关注了就能看到更多这么棒的文章哦~

Unprivileged chroot()

By Jonathan Corbet
March 15, 2021
DeepL assisted translation
https://lwn.net/Articles/849125/

可以说大多数 Linux 开发者都不会在应用程序中使用 chroot()。这个系统调用会将调用它的进程放入一个新的文件系统视角,也就是将传入的目录作为根目录。它可以用来将此进程与文件系统的大部分隔离开,不过这个安全优势还是比较有限的。调用 chroot()是一种特权操作,但是,如果 Mickaël Salaün 能成功推销这组 patch set 的话,至少在某些情况下后面会发生变化。

chroot() 通常会被用来对网络守护进程(network daemon process)放到一个小监狱(jail)里。如果该进程被入侵了,那么它也只能访问这个新设置的根目录之内的子目录。由此而产生了安全防护的效果,尽管这种防护并不是最强防护(有很多方法可以突破 chroot()的限制),但它仍然可以为攻击者增加一些麻烦。chroot()还可以用来让各个进程看到不同的文件系统,比如运行 container 的时候就需要这个能力。

这个系统调用并不是任何人都可以使用的,需要有 CAP_SYS_CHROOT 这个 capability 才能调用 chroot()。进行这个限制是为了防止攻击者在精心制作的文件目录树中运行 setuid 程序,从而来欺骗(和利用)这些程序。举个简单的例子,如果 setuid 程序看到的/etc/passwd 或/etc/sudoers 文件其实是攻击者提供出来的,那么就会产生严重的错误行为。

长久以来,chroot()的局限性导致了它很难得到应用。近年来,它的应用范围更小了,因为出现了 Mount namespace 这种更灵活的机制也可以实现使用新的文件目录树的功能,并且也更难被攻破。所以相对来说,很少有开发者认为在今后的开发中需要使用 chroot()。

因此,当 Salaün 带着他的 chroot()补丁出现时,人们有点惊讶。一旦合入了这个 patch,无权限的进程也可以调用 chroot(),但前提是必须满足几个条件:

  • 此进程必须在调用 prctl()时使用 PR_SET_NO_NEW_PRIVS 选项。这就阻止此进程在今后获得任何新的特权。例如运行 setuid 和 setgid 程序也将不再能获得这些程序属主的特权。既然在该模式下不再会有特权程序,那么相应地这些特权也就不会再被利用了。

  • 此进程不能与其他任何进程共享它的文件系统上下文(也就是 struct fs_struct,其中包含了 root 目录和当前工作目录这些信息),否则 chroot()调用会对这两个进程都生效,而另一个进程可能不会预料到它的文件系统环境会突然改变。

  • 新的 root 必须在文件系统层次结构中的当前 root 之下。这就阻止了那些可能会导致进程可以跳出当前 jail(监牢) 或 mount space 之外的手段。

如果满足这些条件,可以认为,允许进程调用 chroot() 就是安全的。

但是,为什么要这样做呢?其中一个原因是,一个正常运行的 chroot() 环境通常需要有一个包含了最少信息的/dev 目录,而创建这些设备节点仍然是一个需要特权的操作。如上所述,Linux 早就已经有了比 chroot() 更好的选择了。但 Salaün 说,在一些使用场景中,某个进程可能希望在从不受限的环境中加载到它的依赖关系(例如函数库)之后,自己进入沙箱,而设备文件通常可能是用不到的。

对这个 patch 的最初反应比较冷淡。Eric Biederman 担心无权限的 chroot()与其他机制混合使用之后会产生安全问题:

在建立了 sandbox、使用了 seccomp filter、并且启用了 no_new_privs 之后,还仍然允许 chroot,这似乎是在自找麻烦,并且可能会削弱现有的 sandbox。

Casey Schaufler 认为 chroot()已经过时了,同时也担心类似的跟其他机制混合使用的问题:"我们仍然发现了一些 corner case(比如 ptrace),在这些情况下 no_new_privs 是有缺陷的"。他还指出,对 chroot()的访问已经有了更加精细的 capability 控制,也就是 CAP_SYS_CHROOT。

CAP_SYS_CHROOT 就是针对 chroot 的。它不会提供其他不需要的权限,不像 CAP_CHOWN 或 CAP_SYS_ADMIN 那样。把 chroot 变成不需要特权的这种做法是愚蠢的,因为它可能是 capability 机制本来就应该起作用的场景。

Salaün 并没有回答所有这些问题,但似乎并不气馁,在讨论结束后,他发布了第二版 patch set。不过,如果没有更有说服力的回应的话,很难将此改动推到 upstream。以安全为导向的开发者需要被说服,让他们相信 chroot()值得改进。对于那些与其他安全机制混用可能会出现意外的改动,upstream 的门槛会更高。

讨论最终很可能会回到具体使用场景上。在 2021 年是否还真的需要不需要特权的 chroot()?如果有用户可以从这个功能中受益,现在可能是他们站出来解释为什么需要这个功能的好时机。如果没有这些信息,那么 unprivileged chroot() 很可能就是不会成为现实。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~

LinuxNews搬运工
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux setcap指令,Linux下setcap详解
weixin_33488806的博客
05-12 2775
为啥要讲setcap这个玩意呢,因为最近在做国产化系统编译安装产品,遇到普通用户下Nginx不能够小于1024一下端口的问题。CAPABILITIES(7) 文档有一段: For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of pr...
af_lwn::penguin: 用于 Tiny Tiny RSS 的 LWN.net 插件
06-07
af_lwn 小插件,用于提取提要项目的全部内容,包括仅限订阅者的内容。 如果您想提取仅限订阅者的内容, LWN_PASS在 config.php 中配置LWN_USER和LWN_PASS ,如下所示: define ( 'LWN_USER' , '<username>' );define...
Unix/Linux编程:改变进程的根目录------chroot()
OceanStar的博客
05-26 1244
每个进程都有一个根目录,该目录是解释绝对路径时的起点。默认情况下,这是文件系统的真实根目录(新进程从其父进程处继承根目录)。有些场合需要改变一个进程的根目录,而特权级(CAP_SYS_CHROOT)进程通过 chroot()系统调用能够做到这一点 NAME chroot - change root directory SYNOPSIS #include <unistd.h> int chroot(const char *path); chroot
Linux内核之capabilities能力(十七)
Android系统攻城狮
09-19 2187
Capabilities的主要思想在于分割root用户的特权,即将root特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。在Capbilities中系统将根据进程拥有的能力来进行特权操作的访问控制。 在Capilities中,只有进程和可执行文件才具有能力,每个进程拥有三组能力集,分别称为cap_effective, cap_inheritabl...
探秘chw00t:突破chroot的神奇工具
gitblog_00065的博客
05-20 825
探秘chw00t:突破chroot的神奇工具 项目地址:https://gitcode.com/earthquake/chw00t 项目简介 chw00t是一个强大的开源工具,专门设计用于逃离chroot环境。尽管chroot本身并不是Unix系统中的安全特性,但在很多场景下却被误用为安全防护。有了chw00t,你可以有机会绕过这个限制,体验到真正的自由。 报告与回应 我们已经将这一漏洞报告给相关...
[转]通过Chroot机制让服务器安全到底
heiyeluren的blog(黑夜路人的开源世界)
05-16 6353
所谓"监牢"就是指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中,保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。 创建chroot"监牢" 以前,Unix/Linux上的daemon都是以root权限启动的。当时,这似乎是一件理所当然的事情,因为像Apache这样的服务器软件需要绑定到"众所周知"的端口上(小于1024)来监听HT
linux setcap/getcap
jing_flower的博客
02-25 9277
转载:https://blog.csdn.net/mark20170902/article/details/53422384   Linux是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户--rootroot帐户用来管理系统、安装软件、管理帐户、运行某些服务、安装/卸载文件系统、管理用户、安装软件等。另外,普通用户的很多操作也需要root权限,这通过set...
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
LWN帮手「LWN helper」-crx插件
03-15
使LWN稍微容易阅读 这个扩展名为LWN.net上的其他文章的所有内部链接添加了标题mouseover。在导航之前知道您正在浏览的文章。 支持语言:English
lwn2email
02-21
lwn2email 自动将最新的仅订阅LWN问题通过电子邮件发送到电子邮件地址(例如,电子阅读器)。 此工具要求用户具有LWN订阅。 如果您认为该脚本有用,请通过购买订阅来支持LWN。 我将通过不接受允许脚本无需订阅即可...
LWN helper-crx插件
04-05
LWN helper-crx插件】是一款专为英文版LWN.net(Linux Weekly News)设计的浏览器扩展程序,旨在优化用户在浏览该网站时的体验,使其内容更易于理解和导航。这款插件的核心功能是在LWN.net上的内部链接上添加了...
PRoot, chroot,挂载绑定和没有特权/设置的binfmt_misc.zip
10-10
PRoot, chroot,挂载绑定和没有特权/设置的binfmt_misc 手册PRoot 。插件生成状态
Docker安全性(二)——带来了新的安全功能给Docker
每一天都有新的希望
12-03 7589
Docker安全性(二)——带来了新的安全功能给Docker Docker,红帽和开源社区正在共同努力,使Docker更安全。当我看到安全容器中,我期待防止容器内的进程主机,我也期待来保护彼此的容器。与Docker,我们使用的是分 层的安全方法,这是“结合多个缓解安全控制,以保护资源和数据的做法。” 基本上,我们希望把尽可能多的安全屏障,尽可能防止爆发。如果特权进程可以突破的一个容纳机制,我们希望下一个阻止他们。与Docker,我们要采取的Linux尽可能多的 安全机制的优势。
linux 内核情景分析之 chroot 命令背后的内核态行为
龙瑜的博客
10-24 1037
基础知识 如下内容摘自《Linux 内核源代码情景分析》 第 5 章。 要访问一个文件就得先访问一个目录,才能根据文件名从目录中找到该文件的目录项,进而找到其 inode 节点:可是目录本身也是文件,它本身的目录项又在另一个目录项中,这一来不是成了"先有鸡还是先有蛋的问题",或者说递归了吗?这个圈子的出口在哪儿呢? 我们不妨换一个方式来问这个问题,那就是:是否有这样一个目录,它本身的“目录项”不在其它目录中,而可以在一个固定的位置上或者通过一个固定的算法找到,并且从这个目录出发可以找到系统中的任何一个
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2708
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
linux Capabilities简介--#setcap cap_net_raw,cap_net_admin=eip /a.out
热门推荐
Eighty_Nine的博客
12-01 2万+
转自:https://zhidao.baidu.com/question/459061673954720405.htmlLinux是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户--rootroot帐户用来管理系统、安装软件、管理帐户、运行某些服务、安装/卸载文件系统、管理用户、安装软件等。另外,普通用户的很多操作也需要root权限,这通过setuid实现。这种
Linux能力机制
Linux知识积累
08-23 3205
Linux能力机制早期linux上信任状模型非常简单,就是"超级用户对普通用户"模型。普通用户的很多操作需要root权限,这通过setuid实现。如果程序编写不好,就可能...
Linux 权能综述
tq08g2z的专栏
08-17 2776
为了执行权限检查,传统的 UNIX 实现区分两种类型的进程:特权进程(其有效用户 ID 为0,称为超级用户或 root),和非特权用户(其有效 UID 非0)。特权进程绕过所有的内核权限检查,而非特权进程受基于进程的认证信息(通常是:有效 UID,有效 GID,和补充组列表)的完整权限检查的支配。 自内核 2.2 版本开始,Linux 将传统上与超级用户关联的特权分为几个单元,称为 capabil
https://lwn.net/Articles/813350/
最新发布
06-12
对不起,由于链接指向的是Linux Weekly News(LWN)的文章,我无法直接查看或解析网页内容。不过,通常情况下,LWN这类技术网站会报道Linux相关的新闻和技术文章,可能涉及的主题包括内核更新、新工具发布、编程实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值