Linux的capability深入分析(1)

最新推荐文章于 2024-07-14 16:36:35 发布
最新推荐文章于 2024-07-14 16:36:35 发布
阅读量1.1w 收藏 17
点赞数
分类专栏: LINUX应用
一)概述:


1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.
2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概述,即sudo可以配置某个用户可以执行某个命令,可以更改某个文件,而capability是让某个程序拥有某种能力,例如:
capability让/tmp/testkill程序可以kill掉其它进程,但它不能mount设备节点到目录,也不能重启系统,因为我们只指定了它kill的能力,即使程序有问题也不会超出能力范围.
3)每个进程有三个和能力有关的位图:inheritable(I),permitted(P)和effective(E),对应进程描述符task_struct(include/linux/sched.h)里面的cap_effective, cap_inheritable, cap_permitted,所以我们可以查看/proc/PID/status来查看进程的能力.
4)cap_effective:当一个进程要进行某个特权操作时,操作系统会检查cap_effective的对应位是否有效,而不再是检查进程的有效UID是否为0.
例如,如果一个进程要设置系统的时钟,Linux的内核就会检查cap_effective的CAP_SYS_TIME位(第25位)是否有效.
5)cap_permitted:表示进程能够使用的能力,在cap_permitted中可以包含cap_effective中没有的能力,这些能力是被进程自己临时放弃的,也可以说cap_effective是cap_permitted的一个子集.
6)cap_inheritable:表示能够被当前进程执行的程序继承的能力.



二)capability的设定与清除

我们在下面的程序中给当前的进程设定能力,最后我们清除掉所设定的能力,源程序如下: 
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
 
#undef _POSIX_SOURCE
#include <sys/capability.h>
 
extern int errno;
  
void whoami(void)
{
	printf("uid=%i  euid=%i  gid=%i\n", getuid(), geteuid(), getgid());
}
 
void listCaps()
{
	cap_t caps = cap_get_proc();
	ssize_t y = 0;
	printf("The process %d was give capabilities %s\n",(int) getpid(), cap_to_text(caps, &y));
	fflush(0);
	cap_free(caps);
}
  
int main(int argc, char **argv)
{
	int stat;
	whoami();
	stat = setuid(geteuid());
	pid_t parentPid = getpid();

	if(!parentPid)
	return 1;
	cap_t caps = cap_init();

	cap_value_t capList[5] ={ CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP } ;
	unsigned num_caps = 5;
	cap_set_flag(caps, CAP_EFFECTIVE, num_caps, capList, CAP_SET);
	cap_set_flag(caps, CAP_INHERITABLE, num_caps, capList, CAP_SET);
	cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);
 
	if (cap_set_proc(caps)) {
		perror("capset()");
 
		return EXIT_FAILURE;
	}
	listCaps();

	printf("dropping caps\n");
	cap_clear(caps);  // resetting caps storage

	if (cap_set_proc(caps)) {
		perror("capset()");
		return EXIT_FAILURE;
	}
	listCaps();

	cap_free(caps);
	return 0;
}

编译:
gcc capsettest.c -o capsettest -lcap

运行:
./capsettest 
uid=0  euid=0  gid=0
The process 2383 was give capabilities = cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw+eip
dropping caps
The process 2383 was give capabilities =

注:
1)我们对该进程增加了5种能力,随后又清除了所有能力.
2)首先通过cap_init()初始化存放cap能力值的状态,随后通过cap_set_flag函数的调用,将三种位图的能力设置给了变量caps,再通过cap_set_proc(caps)设定当前进程的能力值,通过cap_get_proc()返回当前进程的能力值,最后通过cap_free(caps)释放能力值.
3)cap_set_flag函数的原型是:
int cap_set_flag(cap_t cap_p, cap_flag_t flag, int ncap,const cap_value_t *caps, cap_flag_value_t value);

我们这里的调用语句是:cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);
第一个参数cap_p是存放能力值的变量,是被设定值.这里是caps.
第二个参数flag是是三种能力位图,这里是CAP_PERMITTED.
第三个参数ncap是要设定能力的个数,这里是num_caps,也就是5.
第四个参数*caps是要设定的能力值,这里是capList数组,也就是CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP.
第五个参数value是决定要设定还是清除,这里是CAP_SET.

4)cap_set_proc函数的原型是:int cap_set_proc(cap_t cap_p);
cap_set_proc函数通过cap_p中的能力值设定给当前的进程.

5)cap_get_proc函数的原型是:cap_t cap_get_proc(void);
cap_get_proc函数返回当前进程的能力值给cap变量.

6)cap_free函数的原型是:cap_free(caps);
cap_free函数清理/释放cap变量.

7)如果我们fork()了子进程,那么子进程继承父进程的所有能力.

8)不能单独设定CAP_EFFECTIVE,CAP_INHERITABLE位图,必须要和CAP_PERMITTED联用,且CAP_PERMITTED一定要是其它两个位图的超集.

9)如果两次调用cap_set_proc函数,第二次调用的值力值不能少于或多于第一次调用.如第一次我们授权chown,setuid能力,第二次只能是chown,setuid不能是其它的能力值.

10)普通用户不能给进程设定能力.


三)进程的能力掩码:
我们可以通过下面的程序获取当前进程的掩码,它是通过capget函数来获取指定进程的能力掩码,当然我们也可以用capset来设定掩码,下面获取掩码的体现: 
#undef _POSIX_SOURCE
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <linux/capability.h>
#include <errno.h>

int main()
{
	struct __user_cap_header_struct cap_header_data;
	cap_user_header_t cap_header = &cap_header_data;

	struct __user_cap_data_struct cap_data_data;
	cap_user_data_t cap_data = &cap_data_data;

	cap_header->pid = getpid();
	cap_header->version = _LINUX_CAPABILITY_VERSION_1;

	if (capget(cap_header, cap_data) < 0) {
		perror("Failed capget");
		exit(1);
	}
	printf("Cap data 0x%x, 0x%x, 0x%x\n", cap_data->effective,cap_data->permitted, cap_data->inheritable);
}

gcc capget0.c -o capget0 -lcap

普通用户:
./capget0 
Cap data 0x0, 0x0, 0x0

超级用户:
/home/test/capget0 
Cap data 0xffffffff, 0xffffffff, 0x0

这也说明了默认情况下,root运行的进程是什么权限都有,而普通用户则什么权限都没有.


我们可以将本程序与上面的程序进行整合,如下: 
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
 
#undef _POSIX_SOURCE
#include <sys/capability.h>
 
extern int errno;
  
void whoami(void)
{
	printf("uid=%i  euid=%i  gid=%i\n", getuid(), geteuid(), getgid());
}
 
void listCaps()
{
	cap_t caps = cap_get_proc();
	ssize_t y = 0;
	printf("The process %d was give capabilities %s\n",(int) getpid(), cap_to_text(caps, &y));
	fflush(0);
	cap_free(caps);
}
 
 
int main(int argc, char **argv)
{
	int stat;
	whoami();
	stat = setuid(geteuid());
	pid_t parentPid = getpid();

	if(!parentPid)
	return 1;
	cap_t caps = cap_init();

	cap_value_t capList[5] ={ CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP } ;
	unsigned num_caps = 5;
	cap_set_flag(caps, CAP_EFFECTIVE, num_caps, capList, CAP_SET);
	cap_set_flag(caps, CAP_INHERITABLE, num_caps, capList, CAP_SET);
	cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);

	if (cap_set_proc(caps)) {
		perror("capset()");
		return EXIT_FAILURE;
	}
	listCaps();

	cap_free(caps);

	struct __user_cap_header_struct cap_header_data;
	cap_user_header_t cap_header = &cap_header_data;

	struct __user_cap_data_struct cap_data_data;
	cap_user_data_t cap_data = &cap_data_data;

	cap_header->pid = getpid();
	cap_header->version = _LINUX_CAPABILITY_VERSION_1;

	if (capget(cap_header, cap_data) < 0) {
		perror("Failed capget");
		exit(1);
	}
	printf("Cap data 0x%x, 0x%x, 0x%x\n", cap_data->effective,cap_data->permitted, cap_data->inheritable);
	sleep(60);
	return 0;
}

编译并执行:
gcc capsettest.c -o capsettest -lcap

./capsettest
uid=0  euid=0  gid=0
The process 3101 was give capabilities = cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw+eip
Cap data 0x25c0, 0x25c0, 0x25c0

注:0x25c0=10 0101 1100 0000(二进制)
对映的能力如下:
cap_setgid=6(位)
cap_setuid=7(位)
cap_setpcap=8(位)
cap_net_bind_service=10(位)
cap_net_raw=13(位)

在程序sleep的时候,我们查看一下进程的status,如下:
cat /proc/`pgrep capsettest`/status

CapInh: 00000000000025c0
CapPrm: 00000000000025c0
CapEff: 00000000000025c0
CapBnd: ffffffffffffffff

我们看到进程的status也反映了它的能力状态.
CapBnd是系统的边界能力,我们无法改变它.
wangpengqi
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux进程--setuid/setgid
RT的博客
03-31 1170
文件setuid/setgid linux文件的权限标志除了大家熟知的读(r)、写(w)、执行(x)外,还有三个比较特殊的权限位: setuid/setgid/sticky bit setuid只作用于二进制可执行文件(不包含shell/python/perl等脚本),它允许当前用户以文件所有者的权限运行文件。 如系统的passwd命令 ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 54256 Mar 27 2019 /usr/bin/passwd 这个文
linux下的Capabilities安全机制分析
07-02
实验指导:悉和掌握Lmux操作系统所提供的安全机制.对于提高系统安全以及开发出高安全性的应用软件是非常关键的. 本文从内核源码角度分析了Lmux下的capabl|_ties的实现机制,同时分析了如何利用capab_|it惜安全机制来提高系统安全性.
Linux Capabilities 基础概念与基本使用_linux的capabilities是什么(1)
2401_83621426的博客
05-05 655
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux capability详解
SHELLCODE_8BIT的博客
10-12 1540
Linux2.2前root权限简单划分为root和非root,那么root拥有全部权限,非root拥有有限的权限,如果非root用户需要安装软件,要么切换为root用户,要么使用sudo。如果我们以非root用户安装软件,会有如下提示,提示没权限。当我们使用setuid功能后,既让一个程序在运行时,能够获得root权限。如下所示非root用户成功执行apt-get安装软件。但是有没有发现,我们只需要安装功能,却在执行该进程时,拥有了root权限。可以做更多高危操作,
介绍-Linux capability机制
ty的专栏
03-05 5001
Linuxcapability机制进行详细介绍,并带有例子代码,说明一个普通进程如何获取某项权限。
[转载] Linuxcapability深入分析
a172742451的专栏
04-21 2708
[转载] Linuxcapability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
c++ libcap cap_get_proc
最新发布
我的博客
07-14 202
c++ libcap cap_get_proc
Linux系统分析与高级编程技术.rar
10-25
1. **Linux系统分析**: Linux系统分析涉及对操作系统的核心组成部分的理解,包括进程管理、内存管理、文件系统、网络协议栈等。通过学习这部分内容,开发者可以更好地理解系统如何执行任务,如何分配资源,以及...
Linux内核编程.rar
09-01
1. **Linux内核概述**: Linux内核是开源操作系统Linux的核心,负责管理硬件资源,提供系统调用接口,以及处理进程、内存管理、文件系统和网络等基本功能。它是整个系统的基础,确保系统的稳定性和高效性。 2. **...
Linux内核源码
12-03
6. **安全机制**:Linux内核通过访问控制、能力(capability)模型和 SELinux(Security-Enhanced Linux)等机制,提供了强大的安全性。 7. **虚拟化**:虽然2.6.10版本的虚拟化功能相对较弱,但它是Linux虚拟化技术...
Linux内核源码-3.18.13版本|linux-3.18.13.tar.gz
10-09
Linux内核源码是操作系统的核心,它控制着硬件资源,并为上层的...通过深入研究Linux 3.18.13内核源码,不仅可以掌握内核基本结构,还能了解内核开发的最佳实践,为编写高质量的内核驱动程序和系统级优化打下坚实基础。
基于PAM的用户权能分配实现源码
03-31
基于PAM的用户权能分配实现源码,包括脚本文件,c程序实现。
Linux操作系统源代码详细分析报告.doc
11-09
Linux操作系统源代码详细分析报告涵盖了操作系统的核心组成部分,深入解析了Linux如何实现其高效稳定的功能。在分析中,我们可以看到Linux的源代码是如何构建一个能够处理抢先式多任务、支持多用户、内存保护、虚拟...
[进程]capget()/capset() -- 获得/设置进程的权能
热门推荐
freshui的专栏
01-05 1万+
<br />原型:引用 #undef _POSIX_SOURCE<br />#include <sys/capability.h><br />intcapget(cap_user_header_thdrp,cap_user_data_tdatap);<br />intcapset(cap_user_header_thdrp,constcap_user_data_tdatap);<br /><br />说明:<br />capget() 用来获得进程的权能;capset() 用来设置进程权能。<br /><b
setcap 赋予权限的应用
huangling07031190的专栏
03-17 3176
cap的示例代码: 在子进程(app)中可以把需要的cap设置好,然后再调用setuid把权限切换到app0,关键是切换之前要调用prctl(PR_SET_KEEPCAPS, 1, 0, 0, 0); 否则setuid之后原先设置好的cap都会被清空 #include <sys/capability.h> #include <sys/types.h> #include <stdio.h> #include <stdlib.h> #include <un
linux 内核 隔离核,Docker背后的内核知识:命名空间资源隔离
weixin_32040059的博客
05-06 596
. User namespacesUser namespace主要隔离了安全相关的标识符(identifiers)和属性(attributes),包括用户ID、用户组ID、root目录、key(指密钥)以及特殊权限。说得通俗一点,一个普通用户的进程通过clone()创建的新进程在新user namespace中可以拥有不同的用户和用户组。这意味着一个进程在容器外属于一个没有特权的普通用户,但是他创...
Linux必备知识——开发必备(实时更新)
weixin_43397580的博客
09-12 245
tail -f 文件
linux能力集机制,Linux能力(capability)机制的继承
weixin_30583711的博客
05-15 764
1、Linux能力机制概述在以往的UNIX系统上,为了做进程的权限检查,把进程分为两类:特权进程(有效用户ID是0)和非特权进程(有效用户ID是非0)。特权进程可以通过内核所有的权限检查,而非特权进程的检查则是基于进程的身份(有效ID,有效组及补充组信息)进行。从linux内核2.2开始,Linux把超级用户不同单元的权限分开,可以单独的开启和禁止,称为能力(capability)。可以将能力赋给...
linux capability
03-16
Linux 能力(capability)是一种安全机制,用于控制进程的权限。它允许进程在不需要完全 root 权限的情况下执行某些特定的操作,从而提高了系统的安全性。Linux 能力可以分为两类:基本能力和扩展能力。基本能力包括...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值