使用 pam module 与 seccomp 技术禁止用户加载内核模块

最新推荐文章于 2024-08-10 08:43:37 发布
最新推荐文章于 2024-08-10 08:43:37 发布
阅读量1.1k 收藏
点赞数
分类专栏: linux security Linux 文章标签: pam seccomp 加载模块 finit_module libseccomp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/126438758
版权

目录

前言

从 manual 中学习 seccomp 技术 这篇文章中,我谈及了使用 seccomp 让用户无法加载内核模块的功能,在本文中尝试写个简单的 demo 来验证下可行性。

环境信息与依赖安装

系统版本:debian 11
内核版本:Linux debian 5.15.0-0.bpo.2-amd64
执行 sudo apt install libseccomp-dev libpam0g-dev命令安装依赖库。

使用 libseccomp 库编写 demo

#define _DEFAULT_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <syslog.h>
#include <errno.h>
#include <sys/prctl.h>
#include <fcntl.h>
#include <seccomp.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <stddef.h>

#define PAM_SM_SESSION

#include <security/pam_modules.h>
#include <security/pam_ext.h>

static int seccomp_filter_install(void)
{
    int rc = 0;
    scmp_filter_ctx ctx;

    ctx = seccomp_init(SCMP_ACT_KILL);
    if (ctx == NULL)
        goto out;

    rc = seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(init_module), 0);
    if (rc < 0)
        goto out;

    rc = seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(finit_module), 0);
    if (rc < 0)
        goto out;
    
    rc = seccomp_load(ctx);
    if (rc < 0)
        goto out;

 out:
    seccomp_release(ctx);
    return -rc;
}

PAM_EXTERN int pam_seccomp_open_session(pam_handle_t *pamh,
		int flags,
		int argc,
		const char **argv)
{
    int ret;
    
    ret = seccomp_filter_install();

    return ret != 0 ? PAM_SESSION_ERR:PAM_SUCCESS;
}

PAM_EXTERN int pam_seccomp_close_session(pam_handle_t *pamh,
		int flags,
		int argc,
		const char **argv)
{
	return PAM_SUCCESS;
}

将上述文件保存为 seccomp.c,使用如下编译命令编译之:

gcc -fPIC -shared -lpam  -lseccomp ./seccomp.c -o pam_seccomp.so

编译完成后将 so 权限修改为 0644,然后将文件拷贝到 lib/x86_64-linux-gnu/security/ 目录中,示例命令如下:

chmod 644 ./pam_seccomp.so 
sudo cp ./pam_seccomp.so /lib/x86_64-linux-gnu/security/

此后修改 /etc/pam.d/sshd 文件的内容,在 pam_loginuid.so 配置项目前增加一条 session required pam_seccomp.so配置项目(仅用于测试)。

测试发现无法生效,使用 strace 跟踪发现在加载 /lib/x86_64-linux-gnu/security/位置的 pam_seccomp.so后,还去加载了 /lib/security/目录中的 pam_seccomp.so文件(此目录不存在),而其它的 pam 模块并不会访问 /lib/security 目录。

创建相关目录并拷贝文件后重试仍旧不能生效。

提问

1. 难道是编译过程中有机关?

获取 deb 源码包,手动编译发现一个 pam 模块的编译命令如下:

	make[3]: Entering directory '/tmp/pam-1.4.0/modules/pam_limits'
	/bin/bash ../../libtool  --tag=CC   --mode=compile gcc -DHAVE_CONFIG_H -I. -I../..    -I../../libpam/include -I../../libpamc/include -DLIMITS_FILE_DIR=\"/etc/security/limits.d/*.conf\" -DLIMITS_FILE=\"/etc/security/limits.conf\" -W -Wall -Wbad-function-cast -Wcast-align -Wcast-qual -Wmissing-declarations -Wmissing-prototypes -Wpointer-arith -Wreturn-type -Wstrict-prototypes -Wwrite-strings -Winline -Wshadow -g -O2 -MT pam_limits.lo -MD -MP -MF .deps/pam_limits.Tpo -c -o pam_limits.lo pam_limits.c
	libtool: compile:  gcc -DHAVE_CONFIG_H -I. -I../.. -I../../libpam/include -I../../libpamc/include "-DLIMITS_FILE_DIR=\"/etc/security/limits.d/*.conf\"" -DLIMITS_FILE=\"/etc/security/limits.conf\" -W -Wall -Wbad-function-cast -Wcast-align -Wcast-qual -Wmissing-declarations -Wmissing-prototypes -Wpointer-arith -Wreturn-type -Wstrict-prototypes -Wwrite-strings -Winline -Wshadow -g -O2 -MT pam_limits.lo -MD -MP -MF .deps/pam_limits.Tpo -c pam_limits.c  -fPIC -DPIC -o .libs/pam_limits.o
	mv -f .deps/pam_limits.Tpo .deps/pam_limits.Plo
	/bin/bash ../../libtool  --tag=CC   --mode=link gcc -I../../libpam/include -I../../libpamc/include -DLIMITS_FILE_DIR=\"/etc/security/limits.d/*.conf\" -DLIMITS_FILE=\"/etc/security/limits.conf\" -W -Wall -Wbad-function-cast -Wcast-align -Wcast-qual -Wmissing-declarations -Wmissing-prototypes -Wpointer-arith -Wreturn-type -Wstrict-prototypes -Wwrite-strings -Winline -Wshadow -g -O2 -no-undefined -avoid-version -module -Wl,--version-script=./../modules.map -Wl,--as-needed -Wl,--no-undefined -Wl,-O1 -o pam_limits.la -rpath /lib64/security pam_limits.lo ../../libpam/libpam.la 
	libtool: link: rm -fr  .libs/pam_limits.la .libs/pam_limits.lai .libs/pam_limits.so
	libtool: link: gcc -shared  -fPIC -DPIC  .libs/pam_limits.o   -Wl,-rpath -Wl,/tmp/pam-1.4.0/libpam/.libs ../../libpam/.libs/libpam.so  -g -O2 -Wl,--version-script=./../modules.map -Wl,--as-needed -Wl,--no-undefined -Wl,-O1   -Wl,-soname -Wl,pam_limits.so -o .libs/pam_limits.so
	libtool: link: ( cd ".libs" && rm -f "pam_limits.la" && ln -s "../pam_limits.la" "pam_limits.la" )

能够看到编译命令还是有些复杂,但是也没有看到啥怀疑点。同时网上搜索 pam 模块的 demo,没有找到需要特殊编译参数的说明。 一通折腾后发现在 libpam0g-dev 包的安装目录中有一个模块的示例代码的 Makefile 文件,使用的编译命令如下:

cc -g -fPIC -I"../../include"   -c -o pam_secret.o pam_secret.c
ld -x --shared -o pam_secret.so pam_secret.o -l

使用上述编译命令修改 demo 开始的编译命令,测试发现仍旧不生效。

2. 是否代码实现存在问题?

获取 pam deb 源码包,阅读 modules/pam_limits/pam_limits.c文件确定关键函数如下:

  1. pam_sm_open_session
  2. pam_sm_close_session

与上文的代码对比,确认没有异常。

3. 是否执行问题?

demo 代码的核心函数为 seccomp_filter_install,我怀疑可能是这个函数的执行出现异常,于是单独将这个函数拷贝出来写了一个测试程序进行测试,strace 跟踪发现有如下错误信息:

seccomp(SECCOMP_SET_MODE_STRICT, 1, NULL) = -1 EINVAL (Invalid argument)
seccomp(SECCOMP_SET_MODE_FILTER, SECCOMP_FILTER_FLAG_TSYNC, NULL) = -1 EFAULT (Bad address)
seccomp(SECCOMP_SET_MODE_FILTER, SECCOMP_FILTER_FLAG_LOG, NULL) = -1 EFAULT (Bad address)
seccomp(SECCOMP_GET_ACTION_AVAIL, 0, [SECCOMP_RET_LOG]) = 0
seccomp(SECCOMP_GET_ACTION_AVAIL, 0, [SECCOMP_RET_KILL_PROCESS]) = 0
seccomp(SECCOMP_SET_MODE_FILTER, SECCOMP_FILTER_FLAG_SPEC_ALLOW, NULL) = -1 EFAULT (Bad address)
seccomp(SECCOMP_SET_MODE_FILTER, SECCOMP_FILTER_FLAG_NEW_LISTENER, NULL) = -1 EFAULT (Bad address)
seccomp(SECCOMP_GET_NOTIF_SIZES, 0, 0x7fff5f826ee2) = 0
seccomp(SECCOMP_SET_MODE_FILTER, SECCOMP_FILTER_FLAG_TSYNC_ESRCH, NULL) = -1 EFAULT (Bad address)

看上去确实执行失败了,可查阅 manual 并没有发现怀疑点,想到可以跳过这个 libseccomp 库,于是暂时放弃。

不使用 libseccomp 库编写 demo

源码如下:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <syslog.h>
#include <errno.h>

#include <sys/prctl.h>
#include <linux/seccomp.h>

#define PAM_SM_SESSION

#include <security/pam_modules.h>
#include <security/pam_ext.h>

#include <linux/audit.h>
#include <linux/bpf.h>
#include <linux/filter.h>
#include <linux/unistd.h>
#include <stddef.h>
#include <unistd.h>

static int install_filter(int nr, int arch, int error) {
  struct sock_filter filter[] = {
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, arch))),
    BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, arch, 0, 3),
    BPF_STMT(BPF_LD + BPF_W + BPF_ABS, (offsetof(struct seccomp_data, nr))),
    BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
    BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ERRNO | (error & SECCOMP_RET_DATA)),
    BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW),
  };
  struct sock_fprog prog = {
    .len = (unsigned short)(sizeof(filter) / sizeof(filter[0])),
    .filter = filter,
  };
  if (prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog)) {
    perror("prctl(PR_SET_SECCOMP)");
    return 1;
  }
  return 0;
}

int disable_module_init(void) {
  int ret = 0;
  if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
    perror("prctl(NO_NEW_PRIVS)");
    return 1;
  }
  ret = install_filter(__NR_finit_module, AUDIT_ARCH_X86_64, EPERM);
  if (ret != 0) {
	perror("install filter failed\n");
  }

  ret = install_filter(__NR_init_module, AUDIT_ARCH_X86_64, EPERM);
  if (ret != 0) {
	perror("install filter failed\n");
  }

  return ret;
}

PAM_EXTERN int pam_sm_open_session(pam_handle_t *pamh,
		int flags,
		int argc,
		const char **argv)
{ 
	int ret = 0;
	ret = disable_module_init();

	return ret == 0 ? PAM_SUCCESS:PAM_SESSION_ERR;
}

PAM_EXTERN int pam_sm_close_session(pam_handle_t *pamh,
		int flags,
		int argc,
		const char **argv)
{
	return PAM_SUCCESS;
}

按照上文的描述进行编译配置,并修改 sshd 配置允许 root 登录,然后重启 sshd 服务,测试通过。测试示例如下:

[longyu@debian]$ ssh root@localhost
root@localhost's password: 
....................................
root@debian:~# modprobe uio
modprobe: ERROR: could not insert 'uio': Operation not permitted
root@debian:~# strace modprobe uio 2>&1 | grep finit_module
finit_module(3, "", 0)                  = -1 EPERM (Operation not permitted)
root@debian:~#

能够看到,使用 root 用户通过 ssh 登录后加载 uio 模块报无权限,strace 跟踪并过滤 finit_module 系统调用,确定其返回 EPERM 错误,与下发的过滤规则一致。

扩展思考

将 pam 与 seccomp 能够实现让用户无法加载内核模块的功能,但是使用 seccomp 带来的一个负面作用是子进程都被设定了 no_now_privs 标志,suid、Linux capabilities 等提权行为也会被禁止,会影响到用户正常的使用过程。

参考链接

pam_seccomp.c
Writing Your First PAM Module

longyu_wlz
关注
专栏目录
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2974
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
pam_smbsync:PAM模块与UNIX密码更改同步更新Samba密码
02-13
pam_smbsync PAM模块与UNIX密码更改同步更新Samba密码。 它唯一要做的就是调用smbpasswd来... 在指定PAM_MODULE_DIR同时进行PAM_MODULE_DIR 。 在password pam_unix.so ...之后,安装并添加您的PAM配置password pam_u
Linux Rootkit实验|0200 基本功能之阻止模块加载
这是一个c++热爱者的博客哟
02-03 1211
感觉Linux kernel虽然是用C写的,但有很鲜明的面向对象的特点。尤其是在结构体中嵌入函数指针作为成员,几乎就是类+方法的翻版。带着这种背景观点去探索源码可能会好一些,你看到某些结构体,可以猜测它们会不会有对应的一些方法。从探索模块加载过程的旅程来看,阅读内核源码没有想象中的难,也并非枯燥,而是充满了乐趣,也许是因为带着问题去探索吧。我们注意到,上面的通知处理函数使用了锁机制。这是内核编程中经常需要注意的。
libseccomp 开源项目教程
最新发布
gitblog_00169的博客
08-10 340
libseccomp 开源项目教程 libseccompThe main libseccomp repository项目地址:https://gitcode.com/gh_mirrors/li/libseccomp 项目介绍 libseccomp 是一个提供易于使用的平台无关接口的库,用于访问 Linux 内核的系统调用过滤机制。该库的 API 设计旨在抽象底层基于 BPF 的系统调用过滤语言,...
debug 内核自动加载模块事件及禁止用户加载内核模块配置
龙瑜的博客
08-29 848
今天在学习内核 sysctl 配置的时候看到模块加载的两个配置,觉得有些意思就来研究研究,没想到竟然又找到了【禁止用户加载内核模块】的一个新方法,在本文中记录一下。
PAM模块
奋斗中的魔鬼筋肉人
08-27 329
PAM是关注如何为服务验证用户的API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开 提供了对所有服务进行认证的中央机制,适用于login,远程登录,su等应用程序中 API(使用者)——》PAM(平台)——》SPI(提供者) 相关文件: 模块文件目录:/lib64/security/*.so 环境相关的设置:/etc/security 主配置文件:/etc/pam.conf,默认不存在 为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NA...
Linux禁用禁止某个模块自动加载
o___GRoot的博客
11-06 1666
修改 /etc/modprobe.d/blacklist.conf或在/etc/modprobe.d/目录下创建.conf文件。添加 blacklist ,depmod -a,update-initramfs -u,reboot重启生效。
100G DWDM光模块中的PAM4与相干技术
03-03
100G DWDM光模块是现代数据中心和电信网络中实现高速、长距离...综上所述,PAM4和相干技术各有优劣,企业应根据自身的传输距离、成本预算和网络架构来决定最适合的100G DWDM光模块类型,以实现高效且可靠的网络传输。
使用PAM同步Samba与系统用户密码
03-30
- 接下来需要更新PAM设置,以确保Samba能够正确地与系统用户认证机制集成。 ```bash sudo pam-auth-update ``` **3. 修改 PAM 配置文件 `/etc/pam.d/common-auth`** - 这一步是为了调整系统默认的认证行为,...
pam_chroot.zip_linux pam _pam模块
09-14
每个服务都有一个对应的配置文件,其中包含了需要加载PAM模块及其参数。这些模块按照特定的顺序执行,完成认证、授权、账户管理和会话管理等任务。 **pam_chroot的作用:** 1. **安全隔离**:`pam_chroot`主要...
centos 6 安装vsftpd与PAM虚拟用户的方法
09-15
在本文中,我们将详细介绍如何在CentOS 6上安装和配置VSFTPD,以及使用PAM虚拟用户的方法。 首先,通过`yum`包管理器安装所需的组件: ``` yum install vsftpd pam pam-* db4 db4-* ``` 这将安装VSFTPD服务、PAM库...
libseccomp:主要的libseccomp存储库
05-13
libseccomp库为Linux内核的syscall过滤机制提供了易于使用且与平台无关的接口。 libseccomp API旨在抽象出基于BPF的基础系统调用过滤器语言,并提供了一种更常规的基于函数调用的过滤接口,应用程序开发人员应该熟悉并易于采用。 在线资源 库源存储库当前位于GitHub上的以下URL: Go语言绑定存储库当前位于GitHub上的以下URL: 该项目邮件列表当前托管在Google网上论坛的以下URL中,请注意,订阅该邮件列表不需要Google帐户。 支持的架构 libseccomp库当前支持以下列出的体系结构: 32位x86(x86) 64位x86(x86_64) 64位x86 x32 ABI(x32) 32位ARM EABI(ARM) 64位ARM(aarch64) 32位MIPS(mips) 32位MIPS小尾数(mipsel) 64位MI
linux修改内核禁用模块,(新增修改版)一个删除不用内核模块目录的小脚本,仅仅是为了自己方便。...
weixin_36040020的博客
04-29 123
(新增修改版)一个删除不用内核模块目录的小脚本,仅仅是为了自己方便。发布时间:2009-12-12 06:47:19来源:红联作者:一米短绳[i=s] 本帖最后由 一米短绳 于 2009-12-12 15:24 编辑 [/i]可以再加其它的东西,比如删除旧的/boot/下文件,旧的这个那个,昨天敲键盘频繁的我手麻,为了方便就写了这个小脚本。[code]#!/bin/bash#Description...
linux禁用设备怎么实现,Linux下如何禁止加载某些模块
weixin_28721743的博客
05-05 1733
本文最后更新于2017年5月28日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!=Start=缘由:正文:参考解答:对内核模块来说,黑名单是指禁止某个模块装入的机制。当对应的硬件不存在或者装入某个模块会导致问题时很有用。# vim /etc/modprobe.d/blacklist.conf...install MODULE_NAME /bin/false...这样就可以 "屏蔽...
常用PAM模块
weixin_34311757的博客
03-01 175
1. pam_securetty.so类型:auth作用:只对root有限定,限定root登陆的终端,系统默认的“安全”中断保存在/etc/securetty中pam_access.so类型:account作用:基于登录名,主机名或者所属域,ip地址或者网络,终端编号(类似于/etc/securetty)。默认的配置文件为/etc/security/access.conf2....
PAM模块初识
qq_43578047的博客
02-25 710
PAM模块初识 1. 简介 ​ PAM(Pluggable Authentication Modules)是由Sun提出的一种认证机制。 ​ PAM模块的中文全称为可拔插认证模块,从名字就可以看出该模块的一些特性和作用——即可拔插和用于系统认证。 ​ 准确的来说,PAM模块通过一套动态链接库和一套统一的API,将系统提供的服务和其认证分离,并将其认证统一托管给PAM模块,来实现更加快捷方便的统一管...
Linux PAM 模块
weixin_33700350的博客
09-12 175
这篇文章是从网上摘来的,不知道作者是谁,在此谢谢并声明是他的劳动成果。PAM模块,我一直没弄明白,用的时候都靠试,这篇文章让我对PAM模块又加深了一些....一、什么是Linux-PAM为安全起见,计算机系统只有经过授权的合法用户才能访问,在这里如何正确鉴别用户的真实身份是一个关键的问题。所谓用户鉴别,就是用户向系统以一种安全的方式提交自己的×××明,然后由系统确认用户的身份...
嵌入式linux pam,PAM介绍(一)
weixin_42360905的博客
05-07 651
PAM介绍[root@station203 ~]# uname -aLinux station203.example.com 2.6.18-53.el5 #1 SMP Wed Oct 10 16:34:02 EDT 2007 i686 i686 i386 GNU/Linux这里针对的RHEL5系统。PAM(Pluggable Authentication Modules )是由Sun提出的一种认证...
pam详解
Aiface
10-20 290
https://www.cnblogs.com/hgzero/p/13541910.html
理解PAM:配置与模块详解
"这篇文章主要介绍了PAM(Pluggable Authentication Modules)系统,它是一个用于Linux和UNIX系统的身份验证框架,允许系统...通过熟练掌握PAM使用,系统管理员可以更好地管理认证策略,提高系统的安全性与灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值