سلام به همه. ما به طور فعال وارد کار شده ایم و در حال آماده سازی پرتاب های قدرتمند بسیاری در ژانویه هستیم. از جمله، ثبت نام برای یک جریان جدید از دوره مورد علاقه همه اعلام شده است.
مجوزهای فایل یک جایگزین امن برای فایل های اجرایی SUID ارائه می دهند، اما در ابتدا ممکن است کمی گیج کننده به نظر برسند.
همه ما می دانیم که باینری ها
اگر میخواهید از مطالعه جزئیات مقاله بالا خودداری کنید، در وقت شما صرفهجویی میکنم: اساساً، مجوزهای فایل به فرآیندهایی اجازه میدهند که به صورت روت اجرا شوند و بنابراین مجاز به انجام کاری برای حفظ قابلیتهای خاص، محدود هستند.
مجوزها برای سرویس هایی که معمولاً همیشه به صورت روت اجرا می شوند عالی هستند، اما در مورد ابزارهای خط فرمان چطور؟ خوشبختانه، این نیز به شرط نصب ابزارهای مناسب پشتیبانی می شود. اگر از اوبونتو استفاده می کنید، به عنوان مثال به این بسته نیاز دارید libcap2-bin
. همچنین باید یک هسته غیر باستانی (از نسخه 2.6.24).
این توابع اجازه می دهد تا مجوزها با فایل های اجرایی مرتبط شوند، مشابه تنظیم بیت SUID، اما فقط برای مجموعه خاصی از مجوزها. سودمند setcap
برای افزودن و حذف مجوزها از یک فایل استفاده می شود.
اولین قدم این است که مجوزهای مورد نیاز خود را انتخاب کنید. به خاطر این مقاله، فرض میکنم که یک ابزار تشخیص شبکه به نام وجود دارد tracewalk
، که باید بتوان از آن استفاده کرد CAP_NET_RAW
.
با فرض اینکه شما در فهرستی هستید که باینری در آن قرار دارد tracewalk
، می توانید این مجوز را به صورت زیر اضافه کنید:
sudo setcap cap_net_raw=eip tracewalk
فعلاً پسوند را نادیده بگیرید =eip
برای حل، من در چند ثانیه در مورد آن صحبت خواهم کرد. توجه داشته باشید که نام مجوز با حروف کوچک است. اکنون می توانید بررسی کنید که آیا مجوزها را به درستی پیکربندی کرده اید:
setcap -v cap_new_raw=eip tracewalk
یا می توانید تمام مجوزهای تنظیم شده برای یک فایل اجرایی معین را فهرست کنید:
getcap tracewalk
برای مرجع، همچنین می توانید تمام مجوزها را از فایل اجرایی حذف کنید:
setcap -r tracewalk
در این مرحله، شما باید بتوانید فایل اجرایی را به عنوان یک کاربر غیرمجاز اجرا کنید، و باید بتواند با سوکت های خام کار کند، اما هیچ یک از امتیازات دیگری که کاربر root دارد را نداشته باشد.
پس این پسوند عجیب به چه معناست؟ =eip
? این نیاز به درک خاصی از ماهیت مجوزها دارد. هر فرآیند دارای سه مجموعه مجوز - است موثر، ارثی و مجاز:
- تاثير گذار مجوزها آنهایی هستند که مشخص می کنند یک فرآیند واقعاً چه کاری می تواند انجام دهد. مثلا نمی تواند با سوکت های خام اگر
CAP_NET_RAW
در مجموعه موثر نیست. - در دسترس مجوزها، مجوزهایی هستند که در صورت درخواست فرآیند با استفاده از فراخوانی مناسب، مجاز به داشتن آنها هستند. آنها مانع از انجام هر کاری فرآیندی می شوند، مگر اینکه به طور خاص برای درخواست مجوز نوشته شده باشد. این اجازه می دهد تا فرآیندها برای افزودن مجوزهای حیاتی به مجموعه مؤثر فقط برای دوره ای که واقعاً مورد نیاز هستند، نوشته شوند.
- قابل وراثت مجوزها آنهایی هستند که می توانند در مجموعه قابل دسترسی فرآیند فرزندآوری شده به ارث برده شوند. در حین جراحی
fork()
یاclone()
به فرآیند فرزند همیشه یک کپی از مجوزهای فرآیند والد داده می شود زیرا هنوز همان فایل اجرایی را در آن نقطه اجرا می کند. یک مجموعه ارثی زمانی استفاده می شود کهexec()
(یا معادل) برای جایگزینی فایل اجرایی با فایل دیگری فراخوانی می شود. در این مرحله، مجموعه در دسترس فرآیند توسط مجموعه ارثی پوشانده می شود تا مجموعه قابل دسترسی که برای فرآیند جدید استفاده می شود، به دست آید.
بنابراین ابزار setcap
به ما اجازه می دهد تا مجوزهای این سه مجموعه را به طور مستقل برای یک فایل اجرایی مشخص اضافه کنیم. توجه داشته باشید که معنای گروه ها برای مجوزهای فایل کمی متفاوت تفسیر می شود:
- در دسترس است مجوزهای فایل آنهایی هستند که همیشه در دسترس یک فایل اجرایی هستند، حتی اگر فرآیند والد که آن را فراخوانی کرده است، آنها را نداشته باشد. قبلاً به آنها مجوزهای "اجباری" می گفتند.
- به ارث برده مجوزهای فایل یک ماسک اضافی را تعریف می کنند که می تواند برای حذف مجوزها از مجموعه فرآیند فراخوانی نیز استفاده شود. آنها علاوه بر مجموعه ارثی فرآیند فراخوانی اعمال می شوند، بنابراین مجوز تنها در صورتی به ارث می رسد که در هر دو مجموعه وجود داشته باشد.
- تاثير گذار مجوزهای فایل در واقع فقط یک بیت هستند، نه یک مجموعه، و اگر تنظیم شوند، به این معنی است که کل مجموعه موجود نیز در مجموعه موثر فرآیند جدید کپی می شود. این می تواند برای اضافه کردن مجوزها به فرآیندهایی که به طور خاص برای درخواست آنها نوشته نشده اند استفاده شود. از آنجایی که یک بیت است، اگر آن را برای هر مجوزی تنظیم کنید، باید برای همه مجوزها تنظیم شود. شما می توانید آن را به عنوان یک بیت قدیمی در نظر بگیرید زیرا برای اجازه استفاده از مجوزها توسط برنامه هایی که از آنها پشتیبانی نمی کنند استفاده می شود.
هنگام تعیین مجوزها از طریق setcap
سه حرف e
, i
и p
رجوع شود به موثر، ارثی و قابل دسترسی است به ترتیب مجموعه می کند. بنابراین، مشخصات قبلی:
sudo setcap cap_net_raw=eip tracewalk
... نشان می دهد که قطعنامه CAP_NET_RAW
باید به مجموعه های موجود و ارثی اضافه شود و بیت موثر نیز باید تنظیم شود. با این کار تمام مجوزهای تنظیم شده قبلی روی فایل لغو می شود. برای تنظیم چندین مجوز به طور همزمان، از یک لیست جدا شده با کاما استفاده کنید:
sudo setcap cap_net_admin,cap_net_raw=eip tracewalk
اولاً، قابلیتهای فایل با پیوندهای نمادین کار نمیکنند - شما باید آنها را در خود فایل باینری (یعنی هدف پیوند علامت) اعمال کنید.
دوم اینکه با اسکریپت های تفسیر شده کار نمی کنند. به عنوان مثال، اگر یک اسکریپت پایتون دارید که می خواهید به آن مجوز بدهید، باید آن را به خود مفسر پایتون اختصاص دهید. بدیهی است که این یک مشکل امنیتی بالقوه است زیرا در این صورت همه اسکریپت های اجرا شده با آن مفسر مجوز مشخص شده را خواهند داشت، اگرچه این هنوز به طور قابل توجهی بهتر از ساختن آن SUID است. به نظر می رسد رایج ترین راه حل، نوشتن یک فایل اجرایی جداگانه به زبان C یا معادل آن باشد که بتواند عملیات لازم را انجام دهد و آن را از یک اسکریپت فراخوانی کند. این شبیه به روشی است که توسط Wireshark استفاده می شود که از یک باینری استفاده می کند /usr/bin/dumpcap
برای انجام عملیات ممتاز:
$ getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
سوم، در صورت استفاده از متغیر محیطی، مجوزهای فایل غیرفعال می شوند LD_LIBRARY_PATH
به دلایل امنیتی آشکار(1). همین امر در مورد LD_PRELOAD
، تا آنجایی که من میدانم.
1. بدیهی است که یک مهاجم می تواند جایگزین یکی از کتابخانه های استاندارد شده و استفاده کند LD_LIBRARY_PATH
برای وادار کردن کتابخانه خود به فراخوانی در اولویت نسبت به سیستم یک، و بنابراین کد دلخواه خود را با همان امتیازات برنامه فراخوانی اجرا می کند.
همین. جزئیات بیشتر در مورد برنامه دوره را می توانید در اینجا پیدا کنید
منبع: www.habr.com