Linux Capabilities机制
Linux 是一种安全的操作系统,它把所有的系统权限都赋予了一个单一的 root 用户,只给普通用户保留有限的权限。root 用户拥有超级管理员权限,可以安装软件、允许某些服务、管理用户等。作为普通用户,如果想执行某些只有管理员才有权限的操作,以前只有两种办法:一是通过 sudo 提升权限,如果用户很多,配置管理和权限控制会很麻烦;二是通过 SUID(Set User ID on execution)来实现,它可以让普通用户允许一个 owner 为 root 的可执行文件时具有 root 的权限。
SUID 虽然可以解决问题,但却带来了安全隐患。当运行设置了 SUID 的命令时,通常只是需要很小一部分的特权,但是 SUID 给了它 root 具有的全部权限。这些可执行文件是黑客的主要目标,如果他们发现了其中的漏洞,就很容易利用它来进行安全攻击。简而言之,SUID 机制增大了系统的安全攻击面。为了对 root 权限进行更细粒度的控制,实现按需授权,Linux 引入了另一种机制叫 capabilities。
1. 简介
Capabilities 机制是在 Linux 内核 2.2 之后引入的,原理很简单,就是将之前与超级用户 root(UID=0)关联的特权细分为不同的功能组,Capabilites 作为线程(Linux 并不真正区分进程和线程)的属性存在,每个功能组都可以独立启用和禁用。
其本质上就是将内核调用分门别类,具有相似功能的内核调用被分到同一组中。这样一来,权限检查的过程就变成了:在执行特权操作时,如果线程的有效身份不是 root,就去检查其是否具有该特权操作所对应的 capabilities,并以此为依据,决定是否可以执行特权操作。
Capabilities 可以在进程执行时赋予,也可以直接从父进程继承。所以理论上如果给 nginx 可执行文件赋予了 CAP_NET_BIND_SERVICE capabilities,那么它就能以普通用户运行并监听在 80 端口上。
2. Capabilities 的赋予和继承
Linux capabilities 分为进程 capabilities 和文件 capabilities。对于进程来说,capabilities 是细分到线程的,即每个线程可以有自己的capabilities。对于文件来说,capabilities 保存在文件的扩展属性中。
下面分别介绍线程(进程)的 capabilities 和文件的 capabilities。
2.1 线程的 capabilities
每一个线程,具有 5 个 capabilities 集合,每一个集合使用 64 位掩码来表示,显示为 16 进制格式。这 5 个 capabilities 集合分别是:
Permitted
Effective
Inheritable
Bounding
Ambient
每个集合中都包含零个或多个 capabilities。这5个集合的具体含义如下:
-
Permitted
定义了线程能够使用的 capabilities 的上限。它并不使能线程的 capabilities,而是作为一个规定。也就是说,线程可以通过系统调用 capset() 来从 Effective 或 Inheritable 集合中添加或删除 capability,前提是添加或删除的 capability 必须包含在 Permitted 集合中(其中 Bounding 集合也会有影响,具体参考下文)。 如果某个线程想向 Inheritable 集合中添加或删除 capability,首先它的 Effective 集合中得包含 CAP_SETPCAP 这个 capabiliy。 -
Effective
内核检查线程是否可以进行特权操作时,检查的对象便是 Effective 集合。如之前所说,Permitted 集合定义了上限,线程可以删除 Effective 集合中的某 capability,随后在需要时,再从 Permitted 集合中恢复该 capability,以此达到临时禁用 capability 的功能。 -
Inheritable
当执行exec() 系统调用时,能够被新的可执行文件继承的 capabilities,被包含在 Inheritable 集合中。这里需要说明一下,包含在该集合中的 capabilities 并不会自动继承给新的可执行文件,即不会添加到新线程的 Effective 集合中,它只会影响新线程的 Permitted 集合。 -
Bounding
Bounding 集合是 Inheritable 集合的超集,如果某个 capability 不在 Bounding 集合中,即使它在 Permitted 集合中,该线程也不能将该 capability 添加到它的 Inheritable 集合中。Bounding 集合的 capabilities 在执行 fork() 系统调用时会传递给子进程的 Bounding 集合,并且在执行 execve 系统调用后保持不变。当线程运行时,不能向 Bounding 集合中添加 capabilities。一旦某个 capability 被从 Bounding 集合中删除,便不能再添加回来。将某个 capability 从 Bounding 集合中删除后,如果之前 Inherited 集合包含该 capability,将继续保留。但如果后续从 Inheritable 集合中删除了该 capability,便不能再添加回来。 -
Ambient
Linux 4.3 内核新增了一个 capabilities 集合叫 Ambient ,用来弥补 Inheritable 的不足。Ambient 具有如下特性:Permitted 和 Inheritable 未设置的 capabilities,Ambient 也不能设置;当 Permitted 和 Inheritable 关闭某权限(比如 CAP_SYS_BOOT)后,Ambient 也随之关闭对应权限。这样就确保了降低权限后子进程也会降低权限;非特权用户如果在 Permitted 集合中有一个 capability,那么可以添加到 Ambient 集合中,这样它的子进程便可以在 Ambient、Permitted 和 Effective 集合中获取这个 capability。
Ambient 的好处显而易见,举个例子,如果你将 CAP_NET_ADMIN 添加到当前进程的 Ambient 集合中,它便可以通过 fork() 和 execve() 调用 shell 脚本来执行网络管理任务,因为 CAP_NET_ADMIN 会自动继承下去。
2.2 文件的 capabilities
文件的 capabilities 被保存在文件的扩展属性中。如果想修改这些属性,需要具有 CAP_SETFCAP 的 capability。文件与线程的 capabilities 共同决定了通过 execve() 运行该文件后的线程的 capabilities。文件的 capabilities 功能,需要文件系统的支持。如果文件系统使用了 nouuid 选项进行挂载,那么文件的 capabilities 将会被忽略。
类似于线程的 capabilities,文件的 capabilities 包含了 3 个集合:
Permitted
Inheritable
Effective
这3个集合的具体含义如下:
-
Permitted
这个集合中包含的 capabilities,在文件被执行时,会与线程的 Bounding 集合计算交集,然后添加到线程的 Permitted 集合中。 -
Inheritable
这个集合与线程的 Inheritable 集合的交集,会被添加到执行完 execve() 后的线程的 Permitted 集合中。 -
Effective
这不是一个集合,仅仅是一个标志位。如果设置开启,那么在执行完 execve() 后,线程 Permitted 集合中的 capabilities 会自动添加到它的 Effective 集合中。对于一些旧的可执行文件,由于其不会调用 capabilities 相关函数设置自身的 Effective 集合,所以可以将可执行文件的 Effective bit 开启,从而可以将 Permitted 集合中的 capabilities 自动添加到 Effective 集合中。
2.3 运行 execve() 后 capabilities 的变化
下面通过具体的计算公式,来说明执行 execve() 后 capabilities 是如何被确定的。我们用 P 代表执行 execve() 前线程的 capabilities,P’ 代表执行 execve() 后线程的 capabilities,F 代表可执行文件的 capabilities。那么:
P'(ambient) = (file is privileged) ? 0 : P(ambient)
P'(permitted) = (P(inheritable) & F(inheritable)) | (F(permitted) & P(bounding))) | P'(ambient)
P'(effective) = F(effective) ? P'(permitted) : P'(ambient)
P'(inheritable) = P(inheritable) [i.e., unchanged]
P'(bounding) = P(bounding) [i.e., unchanged]
-
如果用户是 root 用户,那么执行 execve() 后线程的 Ambient 集合是空集;如果是普通用户,那么执行
execve() 后线程的 Ambient 集合将会继承执行 execve() 前线程的 Ambient 集合。 -
执行 execve() 前线程的 Inheritable 集合与可执行文件的 Inheritable 集合取交集,会被添加到执行
execve() 后线程的 Permitted 集合;可执行文件的 capability bounding 集合与可执行文件的
Permitted 集合取交集,也会被添加到执行 execve() 后线程的 Permitted 集合;同时执行 execve()
后线程的 Ambient 集合中的 capabilities 会被自动添加到该线程的 Permitted 集合中。 -
如果可执行文件开启了 Effective 标志位,那么在执行完 execve() 后,线程 Permitted 集合中的
capabilities 会自动添加到它的 Effective 集合中。 -
执行 execve() 前线程的 Inheritable 集合会继承给执行 execve() 后线程的 Inheritable 集合。
这里有几点需要着重强调:
-
上面的公式是针对系统调用 execve() 的,如果是 fork(),那么子线程的 capabilities 信息完全复制父进程的
capabilities 信息。 -
可执行文件的 Inheritable 集合与线程的 Inheritable 集合并没有什么关系,可执行文件 Inheritable 集合中的 capabilities 不会被添加到执行 execve() 后线程的 Inheritable 集合中。如果想让新线程的 Inheritable 集合包含某个 capability,只能通过 capset() 将该 capability 添加到当前线程的 Inheritable 集合中(因为 P’(inheritable) = P(inheritable))。
-
如果想让当前线程 Inheritable 集合中的 capabilities 传递给新的可执行文件,该文件的 Inheritable
集合中也必须包含这些 capabilities(因为 P’(permitted) = (P(inheritable) &
F(inheritable))|…)。 -
将当前线程的 capabilities 传递给新的可执行文件时,仅仅只是传递给新线程的 Permitted
集合。如果想让其生效,新线程必须通过 capset() 将 capabilities 添加到 Effective
集合中。或者开启新的可执行文件的 Effective 标志位(因为 P’(effective) = F(effective) ?
P’(permitted) : P’(ambient))。 -
在没有 Ambient 集合之前,如果某个脚本不能调用 capset(),但想让脚本中的线程都能获得该脚本的 Permitted 集合中的 capabilities,只能将 Permitted 集合中的 capabilities 添加到 Inheritable 集合中(P’(permitted) = P(inheritable) & F(inheritable)|…),同时开启 Effective 标志位(P’(effective) = F(effective) ? P’(permitted) : P’(ambient))。
-
如果某个 UID 非零(普通用户)的线程执行了 execve(),那么 Permitted 和 Effective 集合中的 capabilities 都会被清空。
-
从 root 用户切换到普通用户,那么 Permitted 和 Effective 集合中的 capabilities 都会被清空,除非设置了 SECBIT_KEEP_CAPS 或者更宽泛的 SECBIT_NO_SETUID_FIXUP。
关于上述计算公式的逻辑流程图如下所示(不包括 Ambient 集合):
2.4 capabilities 的名称和作用
capabilities定义和描述可在内核kernel\msm-5.4\include\linux\capability.h和kernel\msm-5.4\include\uapi\linux\capability.h查看,或查看man capabilities,下面简单列举些常用的capabilities 的名称和作用:
CAP_AUDIT_CONTROL 启用和禁用内核审计;改变审计过滤规则;检索审计状态和过滤规则
CAP_AUDIT_READ 允许通过 multicast netlink 套接字读取审计日志
CAP_AUDIT_WRITE 将记录写入内核审计日志
CAP_BLOCK_SUSPEND 使用可以阻止系统挂起的特性
CAP_CHOWN 修改文件所有者的权限
CAP_DAC_OVERRIDE 忽略文件的 DAC 访问限制
CAP_DAC_READ_SEARCH 忽略文件读及目录搜索的 DAC 访问限制
CAP_FOWNER 忽略文件属主 ID 必须和进程用户 ID 相匹配的限制
CAP_FSETID 允许设置文件的 setuid 位
CAP_IPC_LOCK 允许锁定共享内存片段
CAP_IPC_OWNER 忽略 IPC 所有权检查
CAP_KILL 允许对不属于自己的进程发送信号
CAP_LEASE 允许修改文件锁的 FL_LEASE 标志
CAP_LINUX_IMMUTABLE 允许修改文件的 IMMUTABLE 和 APPEND 属性标志
CAP_MAC_ADMIN 允许 MAC 配置或状态更改
CAP_MAC_OVERRIDE 覆盖 MAC(Mandatory Access Control)
CAP_MKNOD 允许使用 mknod() 系统调用
CAP_NET_ADMIN 允许执行网络管理任务
CAP_NET_BIND_SERVICE 允许绑定到小于 1024 的端口
CAP_NET_BROADCAST 允许网络广播和多播访问
CAP_NET_RAW 允许使用原始套接字
CAP_SETGID 允许改变进程的 GID
CAP_SETFCAP 允许为文件设置任意的 capabilities
CAP_SETPCAP 参考 capabilities man page
CAP_SETUID 允许改变进程的 UID
CAP_SYS_ADMIN 允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等
CAP_SYS_BOOT 允许重新启动系统
CAP_SYS_CHROOT 允许使用 chroot() 系统调用
CAP_SYS_MODULE 允许插入和删除内核模块
CAP_SYS_NICE 允许提升优先级及设置其他进程的优先级
CAP_SYS_PACCT 允许执行进程的 BSD 式审计
CAP_SYS_PTRACE 允许跟踪任何进程
CAP_SYS_RAWIO 允许直接访问 /devport、/dev/mem、/dev/kmem 及原始块设备
CAP_SYS_RESOURCE 忽略资源限制
CAP_SYS_TIME 允许改变系统时钟
CAP_SYS_TTY_CONFIG 允许配置 TTY 设备
CAP_SYSLOG 允许使用 syslog() 系统调用
CAP_WAKE_ALARM 允许触发一些能唤醒系统的东西(比如 CLOCK_BOOTTIME_ALARM 计时器)
3. 实例
Capabilities机制可以应用于Linux应用或服务提权。如给应用或服务赋予其特权操作所对应的 capabilities方式来提升应用或服务所需要的权限。此处以oem的核心网络服务oem-app-framework服务举例,oem-app-framework.service是调用oem-app-framework启动脚本,oem-app-framework启动脚本中会创建相关文件,再调用bin文件。
启动服务脚本:
#oem-app-framework.service
[Unit]
Description=oem app framework service
SourcePath=/etc/initscripts/oem-app-framework-deamon
After=firmware-mount.service
DefaultDependencies=no
[Service]
User=radio
Group=radio
Type=simple
ExecStart=/bin/sh /etc/initscripts/oem-app-framework-deamon
ExecStop=/bin/sh /etc/initscripts/oem-app-framework-stop
Restart=always
Nice=-18
[Install]
WantedBy=multi-user.target
启动脚本:
#oem-app-framework-deamon
#!/bin/sh
max_logsize=$(expr 2 \* 1024 \* 1024)
log_file=oem-app-framework.log
log_path=/var/log/
file_log_enable=`cat /data/log_enable`
if [ "1"x == "${file_log_enable}"x ];
then
while [ 1 ] ; do
if [ $(ps -ef|grep /usr/bin/oem-app-framework|grep -v "grep"|wc -l) -eq 0 ];
then
echo "start oem-app-framework with write log to file"
/usr/bin/oem-app-framework > $log_path$log_file &
fi
sleep 5
done
else
echo "start oem-app-framework"
/usr/bin/oem-app-framework
fi
因此我们需要的是一种可以继承的Capabilities集合,通过筛选最终选择了 Ambient。Ambient集合可以确保降低权限后子进程也会降低权限;非特权用户如果在 Permitted 集合中有一个 capability,那么可以添加到 Ambient 集合中,这样它的子进程便可以在 Ambient、Permitted 和 Effective 集合中获取这个 capability。
按照oem-app-framework的功能和所调用的系统命令,我们从众多Capabilities中筛选出如下部分用于oem-app-framework提权:
CAP_NET_ADMIN 允许执行网络管理任务
CAP_NET_RAW 允许使用原始套接字
CAP_NET_BIND_SERVICE 允许绑定到小于 1024 的端口
CAP_SETUID 允许改变进程的 UID
CAP_SETGID 允许改变进程的 GID
CAP_KILL 允许对不属于自己的进程发送信号
CAP_CHOWN 修改文件所有者的权限
CAP_BLOCK_SUSPEND 使用可以阻止系统挂起的特性
CAP_AUDIT_CONTROL 启用和禁用内核审计;改变审计过滤规则;检索审计状态和过滤规则
CAP_AUDIT_READ 允许通过 multicast netlink 套接字读取审计日志
CAP_AUDIT_WRITE 将记录写入内核审计日志
CAP_LINUX_IMMUTABLE 允许修改文件的 IMMUTABLE 和 APPEND 属性标志
CAP_MAC_ADMIN 允许 MAC 配置或状态更改
CAP_MAC_OVERRIDE 覆盖 MAC(Mandatory Access Control)
CAP_SYS_BOOT 允许重新启动系统
CAP_SYS_MODULE 允许插入和删除内核模块
CAP_SYS_RAWIO 允许直接访问 /devport、/dev/mem、/dev/kmem 及原始块设备
CAP_SYSLOG 允许使用 syslog() 系统调用
CAP_WAKE_ALARM 允许触发一些能唤醒系统的东西(比如 CLOCK_BOOTTIME_ALARM 计时器)
CAP_SYS_ADMIN 允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等
上面这些权限是oem-app-framework业务所必需的,涵盖了网络设备管理、休眠唤醒、wifi管理、以太网管理、日志管理、lan管理、设备重启等业务模块。通过在.servcie启动脚本中增加上述提权操作:
#oem-app-framework.service
[Unit]
Description=oem app framework service
SourcePath=/etc/initscripts/oem-app-framework-deamon
After=firmware-mount.service
DefaultDependencies=no
[Service]
User=radio
Group=radio
Type=simple
ExecStart=/bin/sh /etc/initscripts/oem-app-framework-deamon
ExecStop=/bin/sh /etc/initscripts/oem-app-framework-stop
Restart=always
Nice=-18
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_RAW CAP_NET_BIND_SERVICE CAP_SETUID CAP_SETGID CAP_KILL CAP_CHOWN CAP_BLOCK_SUSPEND CAP_AUDIT_CONTROL CAP_AUDIT_READ CAP_AUDIT_WRITE CAP_LINUX_IMMUTABLE CAP_MAC_ADMIN CAP_MAC_OVERRIDE CAP_SYS_BOOT CAP_SYS_MODULE CAP_SYS_RAWIO CAP_SYSLOG CAP_WAKE_ALARM CAP_DAC_OVERRIDE CAP_DAC_READ_SEARCH CAP_SYS_ADMIN
[Install]
WantedBy=multi-user.target
253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
