linux capability
一、实验描述
在Linux系统中,capabilities(能力)是一种安全机制,它允许进程在拥有某些特权的同时不必拥有完整的超级用户权限(root权限)。在传统的UNIX权限模型中,一个进程要么以普通用户身份运行,要么以超级用户(root)身份运行。然而,capabilities 允许对超级用户权限进行更细粒度的划分,以降低对整个系统的潜在风险。
Capabilities 的基本思想是将超级用户权限划分为独立的单元,每个单元称为一个 “capability”。每个 capability 都代表一种特定的权限,如创建网络套接字、更改文件所有者等。进程可以分别被授予或剥夺这些 capabilities,从而实现对权限的更细粒度的控制。在实践中,capabilities 通常是通过 libcap 库和 setcap 命令来设置和管理的。在一个具有 capabilities 的进程中,可以通过调用 capget 和 capset 来获取和修改当前进程的 capabilities。
二、环境搭建
libcap 库能够使用户级别的程序与 capability 特性做交互,一些linux发行版不包括这个库,在环境中已经有 /usr/include/sys/capability.h 这个文件,为了避免老版本的影响,我们还是删掉以前的,然后重新下载一个。
$ cd
$ wget http://labfile.oss.aliyuncs.com/libcap-2.21.tar.gz
$ tar xvf libcap-2.21.tar.gz
$ sudo rm /usr/include/sys/capability.h
$ sudo rm /lib/libcap.so*
$ cd /home/shiyanlou/libcap-2.21/
$ sudo make
$ sudo make install
如图所示,编译完成后将make生成的文件安装到系统目录中。
三、实验内容
在一个capability系统中,当一个程序运行时,对应的线程会初始化一系列capabilities(令牌)。当线程尝试访问某个对象时,操作系统会检查该线程的capabilities,并决定是否授权访问。
1、感受一下Capabilities
首先,以普通用户登录并运行以下命令:
$ ping -c 3 www.baidu.com
命令成功运行,如果你查看/bin/ping的属性会发现它是一个root所有的Set-UID程序。如果ping中包含漏洞,那么整个系统就可能被入侵。问题是我们是否能移除ping的这些权限。
让我们关闭程序的suid位:
$ sudo su
$ chmod u-s /bin/ping
显示当前目录下文件详细信息:文件所有者具有读取写入执行的所有权限,同组用户具有读取执行的权限、其他用户具有读取执行的权限。
我们将其关闭后,我们现在再ping百度看会发生什么
$ ping www.baidu.com
ping: icmp open socket: Operation not permitted
它会提示你操作不被允许。这是因为ping命令需要打开RAW套接字,该操作需要root特权,这就是为什么ping是Set-UID程序了。但有了capability,我们就可以杯酒释兵权了,让我们分配cap_net_raw给ping,看看会发生什么:
$ sudo su
# setcap cap_net_raw=ep /bin/ping
# exit
$ ping -c 3 www.baidu.com
发现此时又可以连接到baidu.com
接着我们进行修改密码, seed 用户的密码是 dees
$ sudo su seed
$ sudo chmod u-s /usr/bin/passwd
$ passwd
$ sudo setcap cap_chown,cap_dac_override,cap_fowner=ep /usr/bin/passwd
$ passwd
分配之后修改成功:
2、调整权限
切换到 /home/shiyanlou/libcap-2.21/libcap 目录下,编辑 cap_proc.c文件。
为了让程序操作cap变得简单,添加以下三个函数到 /home/shiyanlou/libcap-2.21/libcap/cap_proc.c 中
/* Disable a cap on current process */
int cap_disable(cap_value_t capflag)
{
cap_t mycaps;
mycaps = cap_get_proc();
if (mycaps == NULL)
return -1;
if (cap_set_flag(mycaps, CAP_EFFECTIVE, 1, &capflag, CAP_CLEAR) != 0)
return -1;
if (cap_set_proc(mycaps) != 0)
return -1;
return 0;
}
/* Enalbe a cap on current process */
int cap_enable(cap_value_t capflag)
{
cap_t mycaps;
mycaps = cap_get_proc();
if (mycaps == NULL)
return -1;
if (cap_set_flag(mycaps, CAP_EFFECTIVE, 1, &capflag, CAP_SET) != 0)
return -1;
if (cap_set_proc(mycaps) != 0)
return -1;
return 0;
}
/* Drop a cap on current process */
int cap_drop(cap_value_t capflag)
{
cap_t mycaps;
mycaps = cap_get_proc();
if (mycaps == NULL)
return -1;
if (cap_set_flag(mycaps, CAP_EFFECTIVE, 1, &capflag, CAP_CLEAR) != 0)
return -1;
if (cap_set_flag(mycaps, CAP_PERMITTED, 1, &capflag, CAP_CLEAR) != 0)
return -1;
if (cap_set_proc(mycaps) != 0)
return -1;
return 0;
}
运行以下命令编译安装libcap:
$ sudo make
$ sudo make install
在 /home/shiyanlou/libcap-2.21/libcap 目录下新建一个 use_cap.c 文件,并分配cap_dac_read_search给它。
以普通用户登录并运行程序。描述并解释你的观察。
#include <fcntl.h>
#include <sys/types.h>
#include <errno.h>
#include <stdlib.h>
#include <stdio.h>
#include <linux/capability.h>
#include <sys/capability.h>
int main( void )
{
if ( open( "/etc/shadow", O_RDONLY ) < 0 )
printf( "(a) Open failed\n" );
if ( cap_disable( CAP_DAC_READ_SEARCH ) < 0 )
return(-1);
if ( open( "/etc/shadow", O_RDONLY ) < 0 )
printf( "(b) Open failed\n" );
if ( cap_enable( CAP_DAC_READ_SEARCH ) < 0 )
return(-1);
if ( open( "/etc/shadow", O_RDONLY ) < 0 )
printf( "(c) Open failed\n" );
if ( cap_drop( CAP_DAC_READ_SEARCH ) < 0 )
return(-1);
if ( open( "/etc/shadow", O_RDONLY ) < 0 )
printf( "(d) Open failed\n" );
if ( cap_enable( CAP_DAC_READ_SEARCH ) == 0 )
return(-1);
if ( open( "/etc/shadow", O_RDONLY ) < 0 )
printf( "(e) Open failed\n" );
}
使用以下命令编译运行:
$ gcc -c use_cap.c
$ gcc -o use_cap use_cap.o -lcap
$ ./use_cap
运行结果如图所示:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
