linux proc 权限,Linux容器安全:通过`/proc/pid/root`目录来实现权限提升

最新推荐文章于 2023-03-28 00:44:08 发布
最新推荐文章于 2023-03-28 00:44:08 发布
阅读量309 收藏
点赞数
文章标签: linux proc 权限
本文探讨了Linux容器的安全性,特别是如何在非ROOT权限的主机上,利用Docker容器(不使用--privileged参数)通过/proc/pid/root目录实现权限提升。介绍了命名空间的概念,尤其是Mount和User命名空间,讨论了Docker容器的默认权限,如cap_mknod,如何被滥用创建块设备文件,并通过/proc/pid/root目录访问。此外,还阐述了利用symlink漏洞扩大危害的可能性,建议修复符号链接漏洞和谨慎提供容器内的root权限。
摘要由CSDN通过智能技术生成

208568

前言

容器是指一个与主机系统相隔离的工作区域,本质是一种特殊的进程。在Linux操作系统中运行相关容器时(例如Docker与LXC),会使用到多个Linux命名空间来隔离资源以实现虚拟化。基于这个前提,有关容器和命名空间的安全研究大部分都集中在容器逃逸这一层面。但是在某些特定场景下,攻击者能够通过滥用容器和Linux命名空间在目标主机上实现权限提升。这篇文章中我们展示了在处于容器ROOT用户+主机非ROOT权限场景下时,如何借用默认权限且不带有--privileged参数运行的Docker容器在主机层面来实现权限提升。此外,我们还将分享一些关于symlink(符号链接)在命名空间场景下的利用方法。

什么是名称空间(namespaces)?

截至目前,Linux内核公开了7个命名空间。它们可用来隔离主机与容器两者的相关资源以实现虚拟化。简要描述如下:

命名空间

作用介绍

Mount

用来隔离文件系统的挂载点, 使得不同的Mount namespace拥有自己独立的挂载点信息

PID

用来隔离进程的ID空间,使得不同PID namespace里的进程ID可以重复且相互之间不影响

Network

用来隔离网络设备、IP地址、端口等. 每个命名空间将会有自己独立的网络栈、路由表、防火墙规则、socket等

IPC

用来隔离System V IPC 对象以及POSIX消息队列

UTS

用来隔离系统的hostname以及NIS domain name

User

用来隔离用户权限相关的系

最低0.47元/天 解锁文章
weixin_39613561
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux proc目录权限,快速了解Linux系统下的proc目录
weixin_31966185的博客
05-03 770
/proc/devices文件这个文件列出字符和块设备的主设备号,以及分配到这些设备号的设备名称。常用的命令为#cat /proc/devices(在调试驱动的时候这个还是有用的,可以通过lsmod查看驱动模块是否加载)/proc/interrupts这个文件的每一行都有一个保留的中断。每行中的域有:中断号,本行中断的发生次数,可能带有一个加号的域(SA_INTERRUPT标志设置),以及登记 这...
Linux下的重要目录/proc, /sys, /SElinux, /bin, /usr/lib, /usr/local, /var, /tmp
JSB的博客
06-08 214
/proc         /proclinux内核中提供的文件系统,在运行访问内核数据结构,改变内核设置的机制。proc是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应...
linux 下/proc/pid文件内容详解
weixin_34306446的博客
03-18 143
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux中 /proc/[pid] 目录各文件简析
09-09 2250
Linux 内核提供了一种通过 proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc 文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。 用户和应用程序可以通过 proc 得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取 proc 文件时,proc 文件系统是动态从系统内核读出所需信息并提交的。 下面列出的这些文件或子文件夹,并不是都是在你的系统中存在,这取决于
root.rar_Linux/Unix编程_Unix_Linux_
08-11
在`root.c`这个源代码文件中,可能会实现一系列用于操作`/proc`目录的函数,比如`read_proc_file()`用于读取特定`/proc`文件的内容,`parse_proc_data()`解析这些内容并提取有用信息,`open_proc_file()`和`close_...
Linux proc目录下子文件或子文件夹的作用
09-15
### Linux /proc 目录详解及其子文件或子文件夹的作用 #### 一、Linux /proc 目录简介 在Linux系统中,`/proc` 是一个特殊的文件系统,它实际上是一个虚拟的文件系统,其内容全部存在于内存之中,不占用实际的磁盘...
waitforpid:使用 LinuxPROC_EVENTS 和 POSIX 功能等待(非子)进程退出
06-13
等待使用 LinuxPROC_EVENTS等待(非子)进程退出。 由于CAP_NET_ADMIN POSIX 功能允许用于waitforpid二进制文件,因此不需要将其设置为 suid root。安装您需要一个启用了CONFIG_PROC_EVENTS的 Linux 内核。 克隆...
09 定制生成proc文件1
08-08
实验内容包括查看Proc目录结构,编写程序获取系统信息,以及通过修改Proc源码实现进程隐藏。 **Proc文件系统概述** Proc文件系统是Linux内核信息的抽象文件接口,它将内核中的数据和参数映射到一个文件系统结构中,...
Linux动态代码注入调研1.2Lei1
08-03
Linux操作系统中,动态代码注入是一种技术,它允许在运行时向另一个进程注入代码,通常需要root权限。这种技术主要用于调试、性能分析、安全测试等场景。动态代码注入的核心是能够修改进程的内存和寄存器状态,...
linuxproc权限不够,linuxproc文件的读写
weixin_39686048的博客
05-01 960
#include#define STRINGLEN 1024char global_buffer[STRINGLEN];struct proc_dir_entry *hello_file;struct proc_dir_entry *example_dir1;struct proc_dir_entry *example_dir2;int proc_read_hello(char *page, ch...
linux proc 目录清理_Linux下/proc目录详解
weixin_35911307的博客
12-24 1009
Linux下/proc目录详解proc目录总的概述proc下有关进程的目录概述proc下针对Linux系统相关的参数目录概述/proc目录总的概述1.首先,我们可以使用ll命令查看下/proc目录,如下[root@centos6 ~]# ls -l /proctotal 0dr-xr-xr-x. 8 root root 0 May 19 04:02 1dr-xr-xr-...
Linux下的进入目录,增删查改等需要哪些权限以及部分重要的目录的介绍proc/tmp/...... gcc/gdb/g++使用命令安装
qq_44783220的博客
11-04 216
权限分为可读可写可执行加上粘滞位,如果想要进入一个目录的话,就必须有可执行的权限目录的每个权限的作用: 可读:目录的可读权限说明这个目录可以被查看目录底下的内容 可写:目录的可写权限说明这个目录可以被修改内容 可执行:目录的可执行权限说明这个目录可以被进入 粘滞位:有粘滞位的目录不可以被删除 Linux下的重要目录包括:/proc, /sys, /SElinux, /bin, /usr,/...
proc-pid的文件列表
落月星辰的空间
09-15 343
/proc/pid/status 进程的详细信息 /proc/pid/cmdline 进程启动命令 /proc/pid/cwd 链接到进程当前工作目录 /proc/pid/environ 进程环境变量列表 /proc/pid/exe 链接到进程的执行命令文件 /proc/pid/fd 包含进程相关的所有的文件描述符 /proc/pid/maps 与进程相关的内存映射信息 /proc...
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘
最新发布
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
03-28 3995
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘
Linuxproc文件系统揭秘
sinat_26058371的博客
01-19 2446
linuxproc文件系统(procfs)的全称是process information pseudo-filesystem(进程信息伪文件系统)。它是一个特殊的文件系统,通常在系统启动时被自动挂载到/proc目录,以一个多级的目录/文件的方式显示关于进程和其它的系统信息。 proc文件系统中的绝大多数文件是只读的,但也有一些是可写的(例如/proc/sys)。 proc文件系统提供了从用户空间...
Linux /proc/$pid部分内容详解
weixin_30681615的博客
12-15 655
auxv /proc/[pid]/auxv包含传递给进程的ELF解释器信息,格式是每一项都是一个unsigned long长度的ID加上一个unsigned long长度的值。最后一项以连续的两个0x00开头。举例如下: # hexdump -x /proc/2948/auxv 0000000 0021 0000 0000 0000 0000 1a82 ...
Linux下进程信息的深入分析
weixin_34411563的博客
04-27 674
这里我们主要介绍进程的状态,进程的状态可以通过/proc/PID/status来查看,也可以通过/proc/PID/stat来查看。 如果说到工具大家用的最多的ps也可以看到进程的信息。这里我们通过/proc/PID/status来分析进程的信息。 在2.6.18之后的内核,多了capibilty/cpusets等信息.   查看进程状态信息如下: more status Name: ...
Linux /proc 文件系统:内核与用户空间的桥梁
此外,开发者也可以通过`/proc`来实现一些诊断和调试工具,因为它们可以直接反映出内核的实时状态。 `/proc`文件系统是Linux操作系统中一个不可或缺的部分,它为用户提供了透明、灵活的途径来监控和控制内核,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值