該系列文章總共分為三篇:
-
Linux Capabilities 入門教程:概念篇
-
Linux Capabilities 入門教程:基礎實戰篇
-
待續...
上篇文章介紹了 Linux capabilities 的誕生背景和基本原理,本文將會通過具體的示例來展示如何查看和設定檔案的 capabilities,
Linux 系統中主要提供了兩種工具來管理 capabilities:libcap 和 libcap-ng,libcap 提供了 getcap 和 setcap 兩個命令來分別查看和設定檔案的 capabilities,同時還提供了 capsh 來查看當前 shell 行程的 capabilities,libcap-ng 更易于使用,使用同一個命令 filecap 來查看和設定 capabilities,
1. libcap
安裝很簡單,以 CentOS 為例,可以通過以下命令安裝:
$ yum install -y libcap
如果想查看當前 shell 行程的 capabilities,可以用 capsh 命令,下面是 CentOS 系統中的 root 用戶執行 capsh 的輸出:
$ capsh --print
Current: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,cap_audit_read+ep
Bounding set =cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,cap_audit_read
Securebits: 00/0x0/1'b0
secure-noroot: no (unlocked)
secure-no-suid-fixup: no (unlocked)
secure-keep-caps: no (unlocked)
uid=0(root)
gid=0(root)
groups=0(root)
解釋一下:
-
Current : 表示當前 shell 行程的 Effective capabilities 和 Permitted capabilities,可以包含多個分組,每一個分組的表示形式為
capability[,capability…]+(e|i|p),其中e表示 effective,i表示 inheritable,p表示 permitted,不同的分組之間通過空格隔開,例如:Current: = cap_sys_chroot+ep cap_net_bind_service+eip,再舉一個例子,cap_net_bind_service+e cap_net_bind_service+ip和cap_net_bind_service+eip等價, -
Bounding set : 這里僅僅表示 Bounding 集合中的 capabilities,不包括其他集合,所以分組的末尾不用加上
+..., -
Securebits : 我也沒搞清楚這是個什么鬼,
這個命令輸出的資訊比較有限,完整的資訊可以查看 /proc 檔案系統,比如當前 shell 行程就可以查看 /proc/$$/status,其中一個重要的狀態就是 NoNewPrivs,可以通過以下命令查看:
grep NoNewPrivs /proc/$$/status
NoNewPrivs: 0
根據 prctl(2) 中的描述,自從 Linux 4.10 開始,/proc/[pid]/status 中的 NoNewPrivs 值表示了執行緒的 no_new_privs 屬性,至于 no_new_privs究竟是干嘛的,下面我單獨解釋一下,
no_new_privs
一般情況下,execve() 系統呼叫能夠賦予新啟動的行程其父行程沒有的權限,最常見的例子就是通過 setuid 和 setgid 來設定程式行程的 uid 和 gid 以及檔案的訪問權限,這就給不懷好意者鉆了不少空子,可以直接通過 fork 來提升行程的權限,從而達到不可告人的目的,
為了解決這個問題,Linux 內核從 3.5 版本開始,引入了 no_new_privs 屬性(實際上就是一個 bit,可以開啟和關閉),提供給行程一種能夠在 execve() 呼叫整個階段都能持續有效且安全的方法,
-
開啟了
no_new_privs之后,execve 函式可以確保所有操作都必須呼叫execve()判斷并賦予權限后才能被執行,這就確保了執行緒及子執行緒都無法獲得額外的權限,因為無法執行 setuid 和 setgid,也不能設定檔案的權限, -
一旦當前執行緒的
no_new_privs被置位后,不論通過 fork,clone 或 execve 生成的子執行緒都無法將該位清零,
Docker 中可以通過引數 --security-opt 來開啟 no_new_privs 屬性,例如:docker run --security-opt=no_new_privs busybox,下面通過一個例子來體會一下 no_new_privs 屬性的作用,
首先擼一段 C 代碼,顯示當前行程的有效用戶 id:
$ cat testnnp.c
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
int main(int argc, char *argv[])
{
printf("Effective uid: %d\n", geteuid());
return 0;
}
$ make testnnp
cc testnnp.c -o testnnp
將可執行檔案打入 docker 鏡像中:
FROM fedora:latest
ADD testnnp /root/testnnp
RUN chmod +s /root/testnnp
ENTRYPOINT /root/testnnp
構建鏡像:
$ docker build -t testnnp .
Step 1 : FROM fedora:latest
---> 760a896a323f
Step 2 : ADD testnnp /root/testnnp
---> 6c700f277948
Removing intermediate container 0981144fe404
Step 3 : RUN chmod +s /root/testnnp
---> Running in c1215bfbe825
---> f1f07d05a691
Removing intermediate container c1215bfbe825
Step 4 : ENTRYPOINT /root/testnnp
---> Running in 5a4d324d54fa
---> 44f767c67e30
Removing intermediate container 5a4d324d54fa
Successfully built 44f767c67e30
下面來做兩個實驗,先在沒有開啟 no-new-privileges 的情況下啟動容器:
$ docker run -it --rm --user=1000 testnnp
Effective uid: 0
從輸出結果來看,只要給可執行檔案設定了 SUID 標識,即使我們使用普通用戶(UID=1000)來運行容器,行程的有效用戶也會變成 root,
接著在開啟 no-new-privileges 的前提下啟動容器,以防止執行設定了 SUID 標識的可執行檔案進行 UID 轉換:
$ docker run -it --rm --user=1000 --security-opt=no-new-privileges testnnp
Effective uid: 1000
可以看到,開啟了 no_new_privs 屬性之后,即使可執行檔案設定了 SUID 標識,執行緒的有效用戶 ID 也不會變成 root,這樣即使鏡像中的代碼有安全風險,仍然可以通過防止其提升權限來避免受到攻擊,
Kubernetes 也可以開啟 no_new_privs,不過邏輯稍微復雜一點,當 Pod 的 SecurityContext 定義下的 allowPrivilegeEscalation 欄位值為 false 時(默認就是 false),如果不滿足以下任何一個條件,就會開啟 no_new_privs 屬性:
-
設定了
privileged=true -
增加了
CAP_SYS_ADMINcapabilities,即capAdd=CAP_SYS_ADMIN -
以 root 用戶運行,即 UID=0
例如,當設定了 privileged=true 和 allowPrivilegeEscalation=false 時,就不會開啟 no_new_privs 屬性,同理,設定了 capAdd=CAP_SYS_ADMIN 和 allowPrivilegeEscalation=false 也不會開啟 no_new_privs 屬性,
管理 capabilities
可以通過 getcap 來查看檔案的 capabilities,例如:
$ getcap /bin/ping /usr/sbin/arping
/bin/ping = cap_net_admin,cap_net_raw+p
/usr/sbin/arping = cap_net_raw+p
也可以使用 -r 引數來遞回查詢:
$ getcap -r /usr 2>/dev/null
/usr/bin/ping = cap_net_admin,cap_net_raw+p
/usr/bin/newgidmap = cap_setgid+ep
/usr/bin/newuidmap = cap_setuid+ep
/usr/sbin/arping = cap_net_raw+p
/usr/sbin/clockdiff = cap_net_raw+p
如果想查看某個行程的 capabilities,可以直接使用 getpcaps,后面跟上行程的 PID:
$ getpcaps 1234
如果想查看一組相互關聯的執行緒的 capabilities(比如 nginx),可以這么來看:
$ getpcaps $(pgrep nginx)
這里你會看到只有主執行緒才有 capabilities,子執行緒和其他 workers 都沒有 capabilities,這是因為只有 master 才需要特殊權限,例如監聽網路埠,其他執行緒只需要回應請求就好了,
設定檔案的 capabilities 可以使用 setcap,語法如下:
$ setcap CAP+set filename
例如,將 CAP_CHOWN 和 CAP_DAC_OVERRIDE capabilities 添加到 permitted 和 effective 集合:
$ setcap CAP_CHOWN,CAP_DAC_OVERRIDE+ep file1
如果想移除某個檔案的 capabilities,可以使用 -r 引數:
$ setcap -r filename
2. libcap-ng
安裝也很簡單,以 CentOS 為例:
$ yum install libcap-ng-utils
用法
libcap-ng 使用 filecap 命令來管理檔案的 capabilities,有幾個需要注意的地方:
-
filecap 添加洗掉或查看 capabilities 時,capabilities 的名字不需要帶
CAP_前綴(例如,使用NET_ADMIN代替CAP_NET_ADMIN); -
filecap 不支持相對路徑,只支持絕對路徑;
-
filecap 不允許指定 capabilities 作用的集合,capabilities 只會被添加到
permitted和effective集合,
查看檔案的 capabilities:
$ filecap /full/path/to/file
遞回查看某個目錄下所有檔案的 capabilities:
$ filecap /full/path/to/dir
例如:
$ filecap /usr/bin
file capabilities
/usr/bin/newgidmap setgid
/usr/bin/newuidmap setuid
注意: filecap 只會顯示“capabilities 被添加到
permitted和effective集合中”的檔案,所以這里沒有顯示 ping 和 arping,
遞回查看整個系統所有檔案的 capabilities:
$ filecap /
# or
$ filecap -a
設定檔案的 capabilities 語法如下:
$ filecap /full/path/to/file cap_name
例如:
$ filecap /usr/bin/tac dac_override
移除某個檔案的 capabilities:
$ filecap /full/path/to/file none
3. 總結
本文通過兩種工具演示了如何對可執行檔案的 capabilities 進行管理,并以 docker 為例,展現了 no_new_privs 的強大之處,如果條件允許,推薦大家以后盡量用 capabilities 來替代完整的 root 權限或者設定 SUID 標識,
4. 參考資料
- Added no-new-privileges Security Flag to Docker
- 關于 no new privs 翻譯稿
微信公眾號
掃一掃下面的二維碼關注微信公眾號,在公眾號中回復?加群?即可加入我們的云原生交流群,和孫宏亮、張館長、陽明等大佬一起探討云原生技術
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/57253.html
標籤:其他
上一篇:女生節快到了!參加華為AR/VR大賽,贏32萬獎金,打造專屬她的應用!
下一篇:PCL點云的一次運行程序