通过pam_cap配置特权失效的原因

于 2023-11-04 20:47:37 发布
阅读量189 收藏
点赞数
分类专栏: 笔记 文章标签: Linux 特权权限 pam_cap 失效 传递 传播 子进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jkler_doyourself/article/details/134222520
版权

缘由

阅读官网上对于pam_cap介绍的用户特权配置,如果不特别注意官网介绍中的几个关键词,通常配置后并不起效。

而这段对于非root的运行的特权设定与传递、传播的研究,均来自于这个疑问,所以,想再深入谈谈这个问题,而非蜻蜓点水。

官网配置说明

# /etc/security/capability.conf配置pam_cap作用的相关用户

# Simple
cap_sys_ptrace               developer
cap_net_raw                  user1

# Multiple capablities
cap_net_admin,cap_net_raw    jrnetadmin
# Identical, but with numeric values
12,13                        jrnetadmin
...

服务相关程序在PAM中配置启用pam_cap

借助其它已有程序完成启动

Nearly all applications/daemons which use PAM for authentication contain a configuration line:
@include common-auth. Thus, to set inheritable capabilities in all of these applications, add the following as the last line to /etc/pam.d/common-auth

auth optional pam_cap.so
可参见/etc/pam.d/中几个使用PAM程序的系统程序

To set inheritable capabilities for a user in a specific application, or in application(s) which do not >@include common-auth, add the line below to the application-specific file; e.g. /etc/pam.d/myapp

auth optional pam_cap.so

注意:独自配置应用程序,需要做到对PAM Aware

几个原因

  • su、runuser系统程序的PAM鉴权任务栈提前返回
  • 单独配置服务并非PAM Aware,对于PAM模块没有进行接口编程,不能自动生效
  • inheritable capabilities并不能实现自动传递
  • libcap.so版本比较低

PAM鉴权任务栈提前返回

# CentOS7 su的鉴权任务栈
auth            sufficient      pam_rootok.so
auth            substack        system-auth
auth            include         postlogin
# 省略不重要的配置行,详细可见/etc/pam.d/su文件内容

# Ubuntu18.04 su鉴权任务栈虽然包括官网建议的common-auth,但是同样存在提前返回的可能
#
# The PAM configuration file for the Shadow `su' service
#

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

# 省略不重要的配置行,详细可见/etc/pam.d/su文件内容
...
@include common-auth
...

对于配置的鉴权任务sufficientrequisite描述符会导致任务栈提前中止

服务并非PAM Aware

su source codePAM的主动编程,它是PAM Aware

独自在/etc/pam.d/中配置的程序,需要做到PAM Aware

inheritable capabilities并不能实现自动传递

所运行子进程程序是否经由setcap进行特权授权,如果没有特殊授权,根据特权生效算法,并不能自动实现传递

可以借助ambient set,通过根启动程序,类似容器方式实现特权在父子进程树内的传递、传播

libcap.so版本比较低

在libcap.so 2.58+的高版本中,对于ambient set环境特权集实现了支持,但这个版本已经是2021年才发布的,而一般的发行版携带的libcap库是比较低的

参考

快乐的阿常艾念宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cap_pam_modulation.rar_CAP modulation_CAP-Modulation_Cap__PAM调制解
07-13
carrierless amplitude phase modulation CAP调制解调的通信系统
passwd没读取/etc/pam.d/system-auth
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
04-22 1681
前言 对passwd做了些完善,给同事测试,说不好使。原因是/etc/pam.d/system-auth中配置策略项不好使。 这不是埋汰gnu那帮大神么 :) 去看了下passwd检查口令安全性的实现,果真没有读取/etc/pam.d/system-auth的内容…,只读取了etc/login.defs. 具体检查在obscure.c::simple()函数中, 看名字就知道ob...
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
天涯的浪子
11-20 8658
修改如下文件: /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: even_de...
Linux安全加固 附脚本
Sajor的博客
08-09 2076
刚拿到一台全新的Linux服务器怎么办?让我们从四个方面来预防Linux安全问题。
linux 最大文件句柄(file handle)相关参数 ulimit、nofile、nr_open、file-max
三枪八路的博客
12-17 4426
linux 最大文件数相关参数 ulimit、nofile、nr_open、file-maxsysctlulimit含义查看修改生效其他nofile含义查看修改生效其他nr_open含义查看修改file-max含义查看修改file-nr含义查看 sysctl sysctl 的常用命令 sysctl -n 展示单个sysctl配置值 sysctl -w 设置单个sysctl配置值,通过-w设置的值...
jian_ofdm_JIAN_cap_PAM_
09-30
整个仿真系统是从发射端、瑞利信道、接收端大致的过程
pam_chroot.zip_linux pam _pam模块
09-14
linux下可插入验证模块更改用户权限和目录权限的代码,很有参考价值!
PAM.zip_PAM_PAM spectrum_Spectrum pam_功率谱分析
07-15
PAM功率谱分析研究,包含MATLAB程序以及实验过程和参数
PAM_SPECTRUM.rar_MATLAB CODE PAM_attention
07-15
this code show PAM Spectral . this code write in matlab. tanks a lot for attention this code show PAM Spectral . this code write in matlab. tanks a lot for attention
Linux Shell find命令只输出文件名字,不携带路径
一把菜刀行江湖
07-26 4940
仅用find命令就可以只输出文件名
SSH登录卡在‘Last login‘提示界面的一种原因
一把菜刀行江湖
07-12 4881
ssh登录服务器卡在Last login界面一直不动的一种原因
addr2line输出问号怎么办
一把菜刀行江湖
02-27 2881
addr2line在使用地址信息不正确的情况下,会输出文号,但实际上在经过一番特殊处理后,还是可以定位到异常代码的行号
利用iperf网络带宽测试工具看多线程及多核编程
一把菜刀行江湖
08-20 2651
从iperf测试网络带宽,可以测试得到硬件平台单核访问内存带宽、外部网络收发性能,如果在单线程可以满足要求的情况下,尽量不要使用多线程编程
VPP第一次ping失败问题分析
一把菜刀行江湖
11-13 2256
# ```VPP```与```ff-Stack```的同与不同 在最开始不太了解```VPP```时,曾做过```VPP```与```ff-Stack```的选型对比。到现在觉得其实两者差异挺大的。 虽然两者都基于```DPDK```做用户态协议栈,但```ff-Stack```主要面向单体上层应用,例如,```nginx```、```dns```这类应用程序;但```VPP```是面向软件路由器领域的,```VPP```支持了众多的网络协议和路由相关配置**CLI**配置命令(包括*静态*、*动态*生效.
PXE网络安装windows操作系统实战异常问题总结
一把菜刀行江湖
05-23 1814
对于没有光驱的主机,安装操作系统,比较方便的手段还是通过网卡PXE进行网络进行安装。但在微软官网上介绍的PXE网络安装windows操作系统方案,还是比较复杂的。 后来,了解到一种通过PE + ghost镜像的方式,进行恢复和安装操作系统,总体上是比较简单的。 它的核心是借助DHCP服务(指示引导文件)、TFTP服务和ghost客户端与ghost服务器协作完成磁盘镜像恢复,其中主要涉及的组件为:tftpd32(dhcp server + tftp server)、支持PXE的Win PE资源(例如,H3 w
Docker镜像大小是否影响启动速度的试验
一把菜刀行江湖
04-30 1534
Docker镜像的大小,我们知道影响传输、分发和启动,但具体而微,对启动的影响有大呢? 那么,首先是建立评判的标准。如果缺少必要的前提条件,也很难讲结论的正确性... # 前置条件 + 独立测试环境,缺少其他并发干扰 + 运行相同输出时间戳的代码,例如,printloop.sh + 大size镜像的容器先启动,小size镜像的容器后启动 # 评判标准 -如果后启动小size镜像的容器在多次试验中,能够后发先至,说明小size镜像的容器启动具有明显的优势 # 测试脚本 #...
简单数字验证码的机器识别探索
一把菜刀行江湖
09-24 1483
通过opencv识别带有随机噪点的数字验证码,最终使用opencv自带人工智能方法予以解决
Linux中C语言编程经验总结
一把菜刀行江湖
02-15 1296
总结几年下来在Linux中C语言编程经验,这些指导意见,我想在以后的实践中也会经常用到,所以,总结出来,以利于共享和演进。随后会不断增补中...
pam_chauthtok(localAuthHandle, PAM_SILENT)检查密码过期 实例
最新发布
06-07
好的,这是一个使用 pam_chauthtok(localAuthHandle, PAM_SILENT) 函数检查密码过期的示例: ```c #include <security/pam_appl.h> #include <security/pam_misc.h> int main(int argc, char *argv[]) { pam_handle_t *pamh=NULL; int retval; const char *user="nobody"; if(argc == 2) { user = argv[1]; } if(argc > 2) { fprintf(stderr, "Usage: check_user [username]\n"); exit(1); } retval = pam_start("check_user", user, &conv, &pamh); if (retval == PAM_SUCCESS) { retval = pam_chauthtok(pamh, PAM_SILENT); } if (retval == PAM_SUCCESS) { printf("Password change successful!\n"); } else { printf("Password change failed!\n"); } if (pam_end(pamh,retval) != PAM_SUCCESS) { pamh = NULL; fprintf(stderr, "check_user: failed to release authenticator\n"); exit(1); } return retval == PAM_SUCCESS ? 0:1; } ``` 在这个示例程序中,我们同样使用 pam_start() 函数来初始化 PAM 系统并启动认证流程。然后,我们调用 pam_chauthtok() 函数来检查密码是否过期,并在需要时强制用户更改密码。不同的是,我们使用 PAM_SILENT 选项来指定这个过程是静默的,不需要提示用户输入密码。 最后,我们同样使用 pam_end() 函数来结束 PAM 会话并释放资源。 需要注意的是,使用 PAM_SILENT 选项静默地检查密码过期可能会降低安全性。因为用户没有机会确认他们的密码是否过期,也没有机会输入一个强密码来替换过期的密码。因此,在生产系统中,我们需要谨慎使用 PAM_SILENT 选项,并确保用户密码的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值