ფაილის ნებართვები Linux-ში

Სალამი ყველას. ჩვენ აქტიურად ვეშვებით მუშაობას და უკვე ვამზადებთ ბევრ ძლიერ გაშვებას იანვარში. სხვათა შორის, გამოცხადდა რეგისტრაცია ყველასთვის საყვარელი კურსის ახალ ნაკადზე. "ლინუქსის ადმინისტრატორი". გაშვების მოლოდინში, ჩვენ ტრადიციულად ვიზიარებთ სასარგებლო მასალის თარგმანებს.

ფაილის ნებართვები გთავაზობთ უსაფრთხო ალტერნატივას SUID შესრულებადებისთვის, მაგრამ თავიდან შეიძლება ცოტა დამაბნეველი ჩანდეს.

ჩვენ ყველამ ვიცით, რომ ორობითი სამხრეთი არიან ცუდი გადაწყვეტილება უსაფრთხოების თვალსაზრისით. საბედნიეროდ, თუ თქვენი აპლიკაცია მოითხოვს გარკვეულ შეზღუდულ პრივილეგიებს, არსებობს უფრო ეფექტური გზა, რომელსაც ეწოდება ფაილის ნებართვები.

მე დაზოგავ დროს, თუ გინდათ თავი აარიდოთ ზემოთ მოცემული სტატიის დეტალურად წაკითხვას: არსებითად, ფაილის ნებართვები საშუალებას აძლევს პროცესებს, რომლებიც მუშაობს როგორც root და, შესაბამისად, უფლება აქვთ გააკეთონ რაღაც გარკვეული შესაძლებლობების შესანარჩუნებლად, შეზღუდული. ამ სიასროდესაც ისინი ტოვებენ პრივილეგიებს და მართავენ არაპრივილეგირებულ მომხმარებელს. ეს ნიშნავს, რომ თუ თავდამსხმელი შეძლებს პროცესის კომპრომეტირებას ბუფერის გადინების ან სხვა ექსპლოიტის გამოყენებით, ისინი ვერ შეძლებენ ისარგებლონ არაფრით გარდა გარკვეული მინიმალური პრივილეგიებისა, რაც პროცესს რეალურად სჭირდება.

ნებართვები შესანიშნავია სერვისებისთვის, რომლებიც, როგორც წესი, ყოველთვის მუშაობს როგორც root, მაგრამ რაც შეეხება ბრძანების ხაზს? საბედნიეროდ, ეს ასევე მხარდაჭერილია იმ პირობით, რომ თქვენ გაქვთ სწორი კომუნალური დაინსტალირებული. თუ თქვენ იყენებთ Ubuntu-ს, მაგალითად, დაგჭირდებათ პაკეტი libcap2-bin. თქვენ ასევე დაგჭირდებათ არაარქაული ბირთვის გაშვება (ვერსიიდან 2.6.24).

ეს ფუნქციები საშუალებას აძლევს ნებართვებს ასოცირდეს შესრულებად ფაილებთან, SUID ბიტის დაყენების მსგავსი, მაგრამ მხოლოდ ნებართვების კონკრეტული ნაკრებისთვის. კომუნალური setcap გამოიყენება ფაილიდან ნებართვების დასამატებლად და წასაშლელად.

პირველი ნაბიჯი არის თქვენთვის საჭირო ნებართვების შერჩევა. ამ სტატიის გულისთვის, მე ვარაუდობ, რომ არსებობს ქსელის დიაგნოსტიკური ინსტრუმენტი, რომელსაც ე.წ tracewalk, რომლის გამოყენებაც უნდა შეეძლოს ნედლეული სოკეტები. ეს ჩვეულებრივ მოითხოვს აპლიკაციის გაშვებას როგორც root, მაგრამ ნახვისას სია გამოდის, რომ მხოლოდ ნებართვაა საჭირო CAP_NET_RAW.

ვივარაუდოთ, რომ თქვენ იმყოფებით დირექტორიაში, სადაც ბინარულია განთავსებული tracewalk, შეგიძლიათ დაამატოთ ეს ნებართვა შემდეგნაირად:

sudo setcap cap_net_raw=eip tracewalk

ამ დროისთვის დააიგნორეთ სუფიქსი =eip გადაწყვეტისთვის, ამაზე რამდენიმე წამში ვისაუბრებ. გაითვალისწინეთ, რომ ნებართვის სახელი არის პატარა ასოებით. ახლა შეგიძლიათ შეამოწმოთ, სწორად გაქვთ თუ არა კონფიგურირებული ნებართვები:

setcap -v cap_new_raw=eip tracewalk

ან შეგიძლიათ ჩამოთვალოთ მოცემული შესრულებადისთვის დაყენებული ყველა ნებართვა:

getcap tracewalk

ცნობისთვის, თქვენ ასევე შეგიძლიათ ამოიღოთ ყველა ნებართვა შესრულებადიდან:

setcap -r tracewalk

ამ ეტაპზე, თქვენ უნდა შეგეძლოთ გაშვება როგორც არაპრივილეგირებულ მომხმარებელმა, და მას უნდა შეეძლოს მუშაობა ნედლეული სოკეტებით, მაგრამ არ ჰქონდეს სხვა პრივილეგიები, რაც აქვს root მომხმარებელს.

რას ნიშნავს ეს უცნაური სუფიქსი? =eip? ეს მოითხოვს ნებართვების ბუნების გარკვეულ გაგებას. თითოეულ პროცესს აქვს ნებართვების სამი ნაკრები - ეფექტური, მემკვიდრეობითი და ნებადართული:

• ეფექტური ნებართვები არის ის, რაც განსაზღვრავს, რისი გაკეთება შეუძლია პროცესს რეალურად. მაგალითად, მას არ შეუძლია გაუმკლავდეს ნედლეულ სოკეტებს თუ CAP_NET_RAW არ არის ეფექტურ კომპლექტში.
• ხელმისაწვდომია ნებართვები არის ის, რაც პროცესს უფლება აქვს ჰქონდეს, თუ ის ითხოვს მათ შესაბამისი ზარის გამოყენებით. ისინი ხელს უშლიან პროცესის რეალურად რაიმეს გაკეთებას, თუ ის სპეციალურად არ იყო დაწერილი აღნიშნული ნებართვის მოთხოვნით. ეს საშუალებას აძლევს პროცესებს დაიწეროს, რათა დაემატოს კრიტიკული ნებართვები ეფექტურ კომპლექტში მხოლოდ იმ პერიოდისთვის, როდესაც ისინი რეალურად არის საჭირო.
• მემკვიდრეობითი ნებართვები არის ის ნებართვები, რომლებიც შეიძლება მემკვიდრეობით იქნას მიღებული ქვირითის ბავშვის პროცესის ხელმისაწვდომ კომპლექტში. ოპერაციის დროს fork() ან clone() ბავშვის პროცესს ყოველთვის ეძლევა მშობელი პროცესის ნებართვების ასლი, რადგან ის ჯერ კიდევ მუშაობს იმავე შესრულებადში. მემკვიდრეობითი ნაკრები გამოიყენება როცა exec() (ან ექვივალენტი) გამოიძახება შესრულებადი ფაილის სხვათი ჩანაცვლებისთვის. ამ ეტაპზე, პროცესის ხელმისაწვდომი ნაკრები ნიღბავს მემკვიდრეობითი ნაკრებით, რათა მივიღოთ ხელმისაწვდომი კომპლექტი, რომელიც გამოყენებული იქნება ახალი პროცესისთვის.

ასე რომ, სასარგებლო setcap საშუალებას გვაძლევს დავამატოთ ამ სამი კომპლექტის ნებართვები მოცემული შესრულებადისთვის. გაითვალისწინეთ, რომ ჯგუფების მნიშვნელობა ოდნავ განსხვავებულად არის განმარტებული ფაილის ნებართვებისთვის:

• ხელმისაწვდომია ფაილის ნებართვები არის ის ნებართვები, რომლებიც ყოველთვის ხელმისაწვდომია შესრულებადი ფაილისთვის, მაშინაც კი, თუ მშობლის პროცესს, რომელმაც მას დაურეკა, არ გააჩნდა ისინი. მათ ადრე „იძულებით“ ნებართვებს ეძახდნენ.
• Მემკვიდრეობით მიღებული ფაილის ნებართვები განსაზღვრავს დამატებით ნიღბს, რომელიც ასევე შეიძლება გამოყენებულ იქნას ნებართვების ამოსაღებად დარეკვის პროცესის ნაკრებიდან. ისინი ვრცელდება გამოძახების პროცესის მემკვიდრეობით კომპლექტთან ერთად, ამიტომ ნებართვა მემკვიდრეობით მიიღება მხოლოდ იმ შემთხვევაში, თუ ის არსებობს ორივე კომპლექტში.
• ეფექტური ფაილის ნებართვები რეალურად არის მხოლოდ ერთი ბიტი და არა ნაკრები, და თუ დაყენებულია, ეს ნიშნავს, რომ მთელი ხელმისაწვდომი ნაკრები ასევე კოპირდება ახალი პროცესის ეფექტურ კომპლექტში. ეს შეიძლება გამოყენებულ იქნას პროცესებზე ნებართვების დასამატებლად, რომლებიც სპეციალურად არ იყო დაწერილი მათი მოთხოვნის მიზნით. ვინაიდან ეს არის ერთი ბიტი, თუ თქვენ დააყენებთ მას რაიმე ნებართვისთვის, ის უნდა იყოს მითითებული ყველა ნებართვისთვის. თქვენ შეგიძლიათ იფიქროთ, როგორც მემკვიდრეობითი ბიტი, რადგან ის გამოიყენება იმისთვის, რომ ნებართვები გამოიყენონ აპლიკაციებმა, რომლებიც მათ არ უჭერენ მხარს.

ნებართვების მითითებისას მეშვეობით setcap სამი ასო e, i и p არიან ეფექტური, მემკვიდრეობითი და ხელმისაწვდომი ადგენს შესაბამისად. ასე რომ, ადრინდელი სპეციფიკაცია:

sudo setcap cap_net_raw=eip tracewalk

... მიუთითებს, რომ რეზოლუცია CAP_NET_RAW უნდა დაემატოს ხელმისაწვდომ და მემკვიდრეობით ნაკრებებს და ასევე უნდა იყოს მითითებული ეფექტური ბიტი. ეს უგულებელყოფს ფაილზე ადრე დაყენებულ ნებართვებს. რამდენიმე ნებართვის ერთდროულად დასაყენებლად გამოიყენეთ მძიმით გამოყოფილი სია:

sudo setcap cap_net_admin,cap_net_raw=eip tracewalk

ნებართვების სახელმძღვანელო ამ ყველაფერს უფრო დეტალურად განიხილავს, მაგრამ ვიმედოვნებთ, რომ ამ პოსტმა ცოტათი გაამარტივა რა ხდება. მხოლოდ რამდენიმე გაფრთხილება და ხრიკია დარჩენილი.

პირველი, ფაილის შესაძლებლობები არ მუშაობს სიმბოლურ ბმულებთან - თქვენ უნდა გამოიყენოთ ისინი თავად ბინარულ ფაილზე (ანუ სიმლინკის სამიზნეზე).

მეორეც, ისინი არ მუშაობენ ინტერპრეტირებული სკრიპტებით. მაგალითად, თუ თქვენ გაქვთ პითონის სკრიპტი, რომელზეც გსურთ ნებართვის მინიჭება, ის თავად პითონის თარჯიმანს უნდა მიანიჭოთ. ცხადია, ეს არის უსაფრთხოების პოტენციური საკითხი, რადგან მაშინ ამ თარჯიმნის საშუალებით შესრულებულ ყველა სკრიპტს ექნება მითითებული ნებართვა, თუმცა ეს მაინც ბევრად უკეთესია, ვიდრე მისი SUID გაკეთება. როგორც ჩანს, ყველაზე გავრცელებული გამოსავალი არის ცალკე შესრულებადი ფაილის C ან ექვივალენტის დაწერა, რომელსაც შეუძლია შეასრულოს საჭირო ოპერაციები და გამოიძახოს იგი სკრიპტიდან. ეს არის Wireshark-ის მიერ გამოყენებული მიდგომის მსგავსი, რომელიც იყენებს ბინარს /usr/bin/dumpcap პრივილეგირებული ოპერაციების შესასრულებლად:

$ getcap /usr/bin/dumpcap 
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

მესამე, ფაილის ნებართვები გამორთულია, თუ იყენებთ გარემოს ცვლადს LD_LIBRARY_PATH აშკარა უსაფრთხოების მიზეზების გამო(1). იგივე ეხება LD_PRELOAD, როგორც მე ვიცი.

1. ვინაიდან თავდამსხმელს აშკარად შეუძლია შეცვალოს ერთ-ერთი სტანდარტული ბიბლიოთეკა და გამოიყენოს LD_LIBRARY_PATHაიძულოს მისი ბიბლიოთეკა გამოიძახონ უპირატესობა სისტემურზე და, შესაბამისად, ჰქონდეს საკუთარი თვითნებური კოდი შესრულებული იგივე პრივილეგიებით, როგორც გამოძახების აპლიკაცია.

Სულ ეს არის. დამატებითი დეტალები კურსის პროგრამის შესახებ შეგიძლიათ იხილოთ აქ ვებინარი, რომელიც გაიმართება 24 იანვარს.

წყარო: www.habr.com