Linux ရှိ ဖိုင်ခွင့်ပြုချက်များ

အားလုံးမင်္ဂလာပါ။ ကျွန်ုပ်တို့သည် တက်ကြွစွာလုပ်ဆောင်နေပြီး ဇန်နဝါရီတွင် အားကောင်းသည့် လွှတ်တင်မှုများကို ပြင်ဆင်နေပြီဖြစ်သည်။ အခြားသူများကြားတွင်၊ လူတိုင်း၏အကြိုက်ဆုံးသင်တန်းအသစ်အတွက် စာရင်းသွင်းခြင်းကို ကြေငြာထားသည်။ "Linux စီမံခန့်ခွဲသူ". လွှင့်တင်ခြင်းကို မျှော်မှန်းထားသည့်အတွက်၊ ကျွန်ုပ်တို့သည် အစဉ်အလာအားဖြင့် အသုံးဝင်သော ဘာသာပြန်ဆိုချက်များကို မျှဝေပါသည်။

ဖိုင်ခွင့်ပြုချက်များသည် SUID စီမံလုပ်ဆောင်နိုင်သော လုံခြုံသောအခြားရွေးချယ်စရာကို ပေးစွမ်းသော်လည်း အစပိုင်းတွင် အနည်းငယ်ရှုပ်ထွေးပုံရသည်။

ဒွိဟိတ်ဆိုတာ ငါတို့အားလုံးသိတယ်။ တောင် များမှာ လုံခြုံရေး ရှုထောင့်ကနေ ဆုံးဖြတ်တာ မကောင်းဘူး. ကံကောင်းထောက်မစွာ၊ သင့်လျှောက်လွှာတွင် ကန့်သတ်အခွင့်အရေးအချို့ လိုအပ်ပါက၊ ပိုမိုထိရောက်သောနည်းလမ်းတစ်ခုရှိသည်။ ဖိုင်ခွင့်ပြုချက်များ.

အထက်ဖော်ပြပါ ဆောင်းပါးကို အသေးစိတ်ဖတ်ရှုခြင်းမှ ရှောင်ကြဉ်လိုပါက အချိန်အနည်းငယ် သက်သာစေပါမည်- အခြေခံအားဖြင့်၊ ဖိုင်ခွင့်ပြုချက်များသည် root အဖြစ် လုပ်ဆောင်သည့် လုပ်ငန်းစဉ်များကို ခွင့်ပြုထားပြီး အချို့သော စွမ်းရည်များကို ထိန်းသိမ်းထားရန် ကန့်သတ်ချက်တစ်ခုခု ပြုလုပ်ရန် ခွင့်ပြုထားသည်။ ဒီစာရင်း၎င်းတို့သည် အခွင့်ထူးများကို စွန့်လွှတ်ပြီး အခွင့်ထူးမရသေးသော အသုံးပြုသူမှ လုပ်ဆောင်သောအခါ။ ဆိုလိုသည်မှာ တိုက်ခိုက်သူသည် buffer overflow သို့မဟုတ် အခြားသော exploit ကိုအသုံးပြု၍ လုပ်ငန်းစဉ်တစ်ခုကို အလျှော့အတင်းလုပ်ပါက၊ ၎င်းတို့သည် လုပ်ငန်းစဉ် အမှန်တကယ်လိုအပ်သည့် အနည်းငယ်သာသောအခွင့်အရေးများမှလွဲ၍ အခြားမည်သည့်အရာကိုမှ အခွင့်ကောင်းယူနိုင်မည်မဟုတ်ပါ။

Permissions များသည် ပုံမှန်အားဖြင့် root အဖြစ် အမြဲလည်ပတ်နေသည့် ဝန်ဆောင်မှုများအတွက် ကောင်းမွန်သော်လည်း command line utilities များကော။ ကံကောင်းစွာဖြင့်၊ သင့်တွင် မှန်ကန်သော utilities များ ထည့်သွင်းထားသောကြောင့် ၎င်းကိုလည်း ပံ့ပိုးပေးထားပါသည်။ အကယ်၍ သင်သည် Ubuntu ကိုအသုံးပြုနေပါက၊ ဥပမာအားဖြင့် သင်သည် package ကိုလိုအပ်လိမ့်မည်။ libcap2-bin. သင်သည် ရှေးဟောင်းမဟုတ်သော kernel (ဗားရှင်းမှဖြစ်သည်။ 2.6.24).

ဤလုပ်ဆောင်ချက်များသည် ခွင့်ပြုချက်များကို SUID ဘစ်ဆက်တင်နှင့်ဆင်တူသည်၊ သို့သော် သတ်သတ်မှတ်မှတ်ခွင့်ပြုချက်အတွဲအတွက်သာ ခွင့်ပြုချက်များကို ခွင့်ပြုသည်။ ရှိမှာပေါ့။ setcap ဖိုင်တစ်ခုမှ ခွင့်ပြုချက်များကို ထည့်ရန်နှင့် ဖယ်ရှားရန် အသုံးပြုသည်။

ပထမအဆင့်မှာ သင်လိုအပ်သော ခွင့်ပြုချက်များကို ရွေးချယ်ရန်ဖြစ်သည်။ ဤဆောင်းပါးအတွက်ကြောင့်၊ ဟုခေါ်သော network diagnostic tool တစ်ခုရှိနေသည်ဟု ကျွန်တော်ယူဆပါသည်။ tracewalkအသုံးပြုနိုင်ရမည်။ အကြမ်းထည်များ. ၎င်းသည် များသောအားဖြင့် အပလီကေးရှင်းကို root အဖြစ် လုပ်ဆောင်ရန် လိုအပ်သော်လည်း ကြည့်ရှုသည့်အခါတွင် ဖြစ်သည်။ စာရင်း ခွင့်ပြုချက်သာ လိုအပ်ကြောင်း ထွက်ပေါ်လာသည်။ CAP_NET_RAW.

သင်သည် binary တည်ရှိရာ လမ်းကြောင်းတွင် ရှိနေသည်ဟု ယူဆပါ။ tracewalkဤခွင့်ပြုချက်ကို ဤကဲ့သို့ ထည့်နိုင်သည်။

sudo setcap cap_net_raw=eip tracewalk

လောလောဆယ် နောက်ဆက်တွဲကို လစ်လျူရှုပါ။ =eip ကြည်လင်ပြတ်သားမှုအတွက်၊ ငါ အဲဒါကို စက္ကန့်အနည်းငယ်အတွင်း ပြောပြမယ်။ ခွင့်ပြုချက်အမည်သည် စာလုံးသေးဖြင့် သတိပြုပါ။ သင့်တွင် ခွင့်ပြုချက်များကို မှန်ကန်စွာ ပြင်ဆင်ထားခြင်း ရှိ၊ မရှိ စစ်ဆေးနိုင်သည်-

setcap -v cap_new_raw=eip tracewalk

သို့မဟုတ် ပေးထားသော စီမံဆောင်ရွက်မှုအတွက် သတ်မှတ်ခွင့်ပြုချက်အားလုံးကို သင်စာရင်းပြုစုနိုင်သည်-

getcap tracewalk

အကိုးအကားအတွက်၊ သင်လုပ်ဆောင်နိုင်သော ခွင့်ပြုချက်အားလုံးကို ဖယ်ရှားနိုင်သည်-

setcap -r tracewalk

ဤအချိန်တွင်၊ သင်သည် အခွင့်ထူးမရသေးသောအသုံးပြုသူအဖြစ် executable ကို run နိုင်သင့်ပြီး ၎င်းသည် အကြမ်း sockets များနှင့်အလုပ်လုပ်နိုင်သင့်သည်၊ သို့သော် root အသုံးပြုသူတွင်ရှိသောအခြားအခွင့်ထူးများမရှိပါ။

ဒါဆို ဒီထူးဆန်းတဲ့ နောက်ဆက်တွဲက ဘာကိုဆိုလိုတာလဲ။ =eip? ၎င်းသည် ခွင့်ပြုချက်၏ သဘောသဘာဝကို နားလည်မှုအချို့ လိုအပ်သည်။ လုပ်ငန်းစဉ်တစ်ခုစီတွင် ခွင့်ပြုချက်သုံးစုံရှိသည်။ ထိရောက်မှု၊ အမွေဆက်ခံမှုနှင့် ခွင့်ပြုထားသည်။:

• ထိရောက်တယ်။ ခွင့်ပြုချက်များသည် လုပ်ငန်းစဉ်တစ်ခု အမှန်တကယ်လုပ်ဆောင်နိုင်သည့်အရာကို သတ်မှတ်ပေးသည့်အရာများဖြစ်သည်။ ဥပမာအားဖြင့်၊ အကယ်၍ ၎င်းသည် အကြမ်းထည်များကို ကိုင်တွယ်ဖြေရှင်းရန် မဖြစ်နိုင်ပါ။ CAP_NET_RAW ထိရောက်သော သတ်မှတ်ချက်တွင် မရှိပါ။
• ရရှိနိုင်ပါသည်။ ခွင့်ပြုချက်များသည် သင့်လျော်သောခေါ်ဆိုမှုကို အသုံးပြု၍ ၎င်းတို့အား တောင်းဆိုပါက လုပ်ငန်းစဉ်တစ်ခုမှ ခွင့်ပြုပေးသည့်အရာများဖြစ်သည်။ ခွင့်ပြုချက်မတောင်းခံဘဲ လုပ်ငန်းစဉ်ကို အတိအကျ ရေးမထားပါက ၎င်းတို့သည် မည်သည့်အရာကိုမျှ အမှန်တကယ်လုပ်ဆောင်ခြင်းမှ တားဆီးပိတ်ပင်ထားသည်။ ၎င်းသည် အမှန်တကယ်လိုအပ်သည့်ကာလအတွက်သာ ထိရောက်သောသတ်မှတ်ထားသော အရေးကြီးသောခွင့်ပြုချက်များကို ထည့်သွင်းရန်အတွက် လုပ်ငန်းစဉ်များကို ရေးသားနိုင်စေပါသည်။
• အမွေခံ ခွင့်ပြုချက်များသည် မွေးဖွားလာသော ကလေးလုပ်ငန်းစဉ်၏ လက်လှမ်းမီနိုင်သော အစုအဝေးတွင် အမွေဆက်ခံနိုင်သော အရာများဖြစ်သည်။ ခွဲစိတ်နေစဉ် fork() သို့မဟုတ် clone() ကလေးလုပ်ငန်းစဉ်သည် တစ်ချိန်တည်းတွင် တူညီသောလုပ်ဆောင်မှုအဖြစ် လုပ်ဆောင်နိုင်ဆဲဖြစ်သောကြောင့် မိဘလုပ်ငန်းစဉ်၏ခွင့်ပြုချက်များ မိတ္တူကို အမြဲပေးထားသည်။ အမွေဆက်ခံနိုင်သော အစုံကို မည်သည့်အချိန်တွင် အသုံးပြုသည်။ exec() (သို့မဟုတ် ညီမျှသည်) ကို executable file နှင့် အစားထိုးရန် ခေါ်သည်။ ဤအချိန်တွင်၊ လုပ်ငန်းစဉ်အသစ်အတွက် အသုံးပြုမည့် လက်လှမ်းမီသောအစုံကိုရယူရန် လုပ်ငန်းစဉ်၏ရရှိနိုင်သောအစုံကို အမွေဆက်ခံနိုင်သောအစုံဖြင့် ဖုံးကွယ်ထားသည်။

အဲဒီတော့ ရှိမှာပေါ့။ setcap ပေးထားသော executable တစ်ခုအတွက် ဤ sets သုံးခု၏ ခွင့်ပြုချက်များကို လွတ်လပ်စွာ ထည့်နိုင်စေပါသည်။ အဖွဲ့များ၏ အဓိပ္ပါယ်မှာ ဖိုင်ခွင့်ပြုချက်အတွက် အနည်းငယ် ကွဲပြားကြောင်း သတိပြုပါ။

• ရရှိနိုင် ဖိုင်ခွင့်ပြုချက်များသည် ၎င်းကိုခေါ်သော ပင်မလုပ်ငန်းစဉ်တွင် ၎င်းတို့မပါဝင်ခဲ့လျှင်ပင် executable file တစ်ခုတွင် အမြဲတမ်းရရှိနိုင်သည့်အရာများဖြစ်သည်။ ၎င်းတို့ကို “အတင်းအကြပ်” ခွင့်ပြုမိန့်ဟု ခေါ်ဝေါ်ခဲ့ကြသည်။
• အမွေဆက်ခံသည်။ ဖိုင်ခွင့်ပြုချက်များသည် ခေါ်ဆိုမှုလုပ်ငန်းစဉ်၏ သတ်မှတ်ချက်များမှ ခွင့်ပြုချက်များကို ဖယ်ရှားရန်အတွက်လည်း အသုံးပြုနိုင်သည့် နောက်ထပ်မျက်နှာဖုံးတစ်ခုအား သတ်မှတ်ဖော်ပြပါသည်။ ၎င်းတို့သည် ခေါ်ဆိုမှုလုပ်ငန်းစဉ်၏ အမွေဆက်ခံထားသည့်အစုံအပြင် လျှောက်ထားသောကြောင့် ၎င်းသည် အတွဲနှစ်ခုစလုံးတွင် ရှိနေမှသာ ခွင့်ပြုချက်ရရှိမည်ဖြစ်သည်။
• ထိရောက်သည်။ ဖိုင်ခွင့်ပြုချက်များသည် အမှန်တကယ်တွင် တစ်နည်းနည်းမျှသာဖြစ်ပြီး set တစ်ခုမဟုတ်ပါ၊ သတ်မှတ်ပါက၊ ရရှိနိုင်သော set တစ်ခုလုံးကို process အသစ်၏ ထိရောက်သော set ထဲသို့ ကူးယူသည်ဟု ဆိုလိုပါသည်။ ၎င်းတို့တောင်းဆိုရန် အထူးရေးသားထားခြင်းမရှိသော လုပ်ငန်းစဉ်များတွင် ခွင့်ပြုချက်များကို ထည့်သွင်းရန် ၎င်းကို အသုံးပြုနိုင်သည်။ ၎င်းသည် တစ်နည်းနည်းဖြစ်သောကြောင့် ခွင့်ပြုချက်တစ်ခုခုအတွက် သတ်မှတ်ထားပါက၊ ၎င်းကို ခွင့်ပြုချက်အားလုံးအတွက် သတ်မှတ်ရမည်ဖြစ်သည်။ ၎င်းတို့ကို ပံ့ပိုးမှုမရှိသော အပလီကေးရှင်းများမှ ခွင့်ပြုချက်များကို အသုံးပြုရန် အသုံးပြုသောကြောင့် ၎င်းကို အမွေအနှစ်အဖြစ် သင်ယူဆနိုင်သည်။

တစ်ဆင့်ချင်း ခွင့်ပြုချက် သတ်မှတ်သည့်အခါ setcap စာလုံးသုံးလုံး e, i и p ရည်ညွှန်း ထိရောက်မှု၊ အမွေဆက်ခံနိုင်သော၊ လက်လှမ်းမီနိုင်သော အသီးသီးသတ်မှတ်ထားသည်။ ထို့ကြောင့်၊ အစောပိုင်းသတ်မှတ်ချက်

sudo setcap cap_net_raw=eip tracewalk

... ပြတ်သားမှုကို ဖော်ပြသည်။ CAP_NET_RAW ရရှိနိုင်သော နှင့် အမွေဆက်ခံနိုင်သော အတွဲများထဲသို့ ပေါင်းထည့်ရမည်ဖြစ်ပြီး ထိရောက်သောဘစ်ကိုလည်း သတ်မှတ်ရမည်ဖြစ်သည်။ ၎င်းသည် ဖိုင်ပေါ်ရှိ ယခင်သတ်မှတ်ထားသည့် ခွင့်ပြုချက်များကို အစားထိုးမည်ဖြစ်သည်။ ခွင့်ပြုချက်များစွာကို တစ်ပြိုင်နက် သတ်မှတ်ရန်၊ ကော်မာ ခြားထားသော စာရင်းကို အသုံးပြုပါ-

sudo setcap cap_net_admin,cap_net_raw=eip tracewalk

ခွင့်ပြုချက်လမ်းညွှန် ဤအရာအားလုံးကို ပိုမိုအသေးစိတ်ဆွေးနွေးထားသော်လည်း ဤပို့စ်သည် ဖြစ်ပျက်နေသည့်အရာများကို အနည်းငယ်မျှ ချေမှုန်းနိုင်လိမ့်မည်ဟု မျှော်လင့်ပါသည်။ ဖော်ပြရန် သတိပေးချက်များနှင့် လှည့်ကွက်အနည်းငယ်သာ ကျန်ရှိတော့သည် ။

ပထမဦးစွာ၊ ဖိုင်စွမ်းရည်များသည် symlinks များနှင့် အလုပ်မလုပ်ပါ - ၎င်းတို့ကို binary ဖိုင်ကိုယ်တိုင် (ဆိုလိုသည်မှာ symlink ၏ပစ်မှတ်) တွင် ၎င်းတို့ကို အသုံးချရမည်ဖြစ်သည်။

ဒုတိယအနေဖြင့်၊ ၎င်းတို့သည် ဘာသာပြန်ထားသော ဇာတ်ညွှန်းများနှင့် အလုပ်မလုပ်ပါ။ ဥပမာ၊ သင့်တွင် ခွင့်ပြုချက်ပေးလိုသော Python script တစ်ခုရှိပါက၊ ၎င်းကို Python ဘာသာပြန်သူကိုယ်တိုင် သတ်မှတ်ပေးရပါမည်။ ၎င်းသည် SUID ကိုပြုလုပ်ခြင်းထက် သိသိသာသာပိုကောင်းနေသေးသော်လည်း ၎င်းသည် အဆိုပါစကားပြန်ဖြင့်လုပ်ဆောင်သည့် script များအားလုံးတွင် သတ်မှတ်ထားသောခွင့်ပြုချက်ရှိမည်ဖြစ်သောကြောင့်၊ ၎င်းသည် ဖြစ်နိုင်ချေရှိသော လုံခြုံရေးပြဿနာတစ်ခုဖြစ်သည်မှာ ထင်ရှားပါသည်။ အသုံးအများဆုံးဖြေရှင်းနည်းမှာ C တွင် သီးခြားစီစစ်နိုင်သော သို့မဟုတ် လိုအပ်သည့်လုပ်ဆောင်မှုများကိုလုပ်ဆောင်နိုင်ပြီး script တစ်ခုမှခေါ်ဆိုနိုင်သော သီးခြားလုပ်ဆောင်နိုင်သည့်အရာတစ်ခုရေးရန်ဖြစ်ပုံရသည်။ ၎င်းသည် binary ကိုအသုံးပြုသည့် Wireshark မှအသုံးပြုသောချဉ်းကပ်ပုံနှင့်ဆင်တူသည်။ /usr/bin/dumpcap အခွင့်ထူးခံလုပ်ငန်းများဆောင်ရွက်ရန်-

$ getcap /usr/bin/dumpcap 
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

တတိယ၊ သင်သည် ပတ်ဝန်းကျင်ပြောင်းလဲမှုကို အသုံးပြုပါက ဖိုင်ခွင့်ပြုချက်များကို ပိတ်ထားသည်။ LD_LIBRARY_PATH ထင်ရှားသော လုံခြုံရေးအကြောင်းပြချက်များအတွက်(1). သူပြောတာ LD_PRELOAD, ကျွန်တော်သိသလောက်။

1. တိုက်ခိုက်သူသည် စံစာကြည့်တိုက်များထဲမှ တစ်ခုကို အစားထိုးပြီး အသုံးပြုနိုင်သောကြောင့်ဖြစ်သည်။ LD_LIBRARY_PATH၎င်း၏စာကြည့်တိုက်ကို စနစ်တစ်ခုအား ဦးစားပေးခေါ်ရန် အတင်းအကြပ်ခေါ်ဆိုရန်၊ ထို့ကြောင့် ခေါ်ဆိုမှုအပလီကေးရှင်းကဲ့သို့ တူညီသောအခွင့်ထူးများဖြင့် ၎င်း၏ကိုယ်ပိုင်ထင်သလိုကုဒ်ကို လုပ်ဆောင်ပေးပါသည်။

ဒါပါပဲ။ သင်တန်းအစီအစဉ်အသေးစိတ်အား အောက်ပါလင့်တွင် ကြည့်ရှုနိုင်ပါသည်။ webinar သည် ဇန်နဝါရီ 24 ရက်နေ့တွင်ကျင်းပမည်ဖြစ်သည်။

source: www.habr.com