歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux基礎知識

Linux能力(capability)機制的繼承

1、Linux能力機制概述

在以往的UNIX系統上,為了做進程的權限檢查,把進程分為兩類:特權進程(有效用戶ID是0)和非特權進程(有效用戶ID是非0)。特權進程可以通過內核所有的權限檢查,而非特權進程的檢查則是基於進程的身份(有效ID,有效組及補充組信息)進行。

從linux內核2.2開始,Linux把超級用戶不同單元的權限分開,可以單獨的開啟和禁止,稱為能力(capability)。可以將能力賦給普通的進程,使其可以做root用戶可以做的事情。

此時內核在檢查進程是否具有某項權限的時候,不再檢查該進程的是特權進程還是非特權進程,而是檢查該進程是否具有其進行該操作的能力。例如當進程設置系統時間,內核會檢查該進程是否有設置系統時間(CAP_SYS_TIME)的能力,而不是檢查進程的ID是否為0;

當前Linux系統中共有37項特權,可在/usr/include/linux/capability.h文件中查看

2、Linux能力機制的實現

一個完整的能力機制需要滿足以下三個條件:

1、對進程的所有特權操作,linux內核必須檢查該進程該操作的特權位是否使能。

2、Linux內核必須提供系統調用,允許進程能力的修改與恢復。

3、文件系統必須支持能力機制可以附加到一個可執行文件上,但文件運行時,將其能力附加到進程當中。

到linux內核版本2.6.24為止,上述條件的1、2可以滿足。從linux內核2.6.24開始,上述3個條件可以都可以滿足

每個進程包括三個能力集,含義如下:

Permitted: 它是effective capabilities和Inheritable capability的超集。如果一個進程在Permitted集合中丟失一個能力,它無論如何不能再次獲取該能力(除非特權用戶再次賦予它)

Inheritable: 它是表明該進程可以通過execve繼承給新進程的能力。

Effecitive: Linux內核真正檢查的能力集。

從2.6.24開始,Linux內核可以給可執行文件賦予能力,可執行文件的三個能力集含義如下:

Permitted:該能力當可執行文件執行時自動附加到進程中,忽略Inhertiable capability。

Inheritable:它與進程的Inheritable集合做與操作,決定執行execve後新進程的Permitted集合。

Effective: 文件的Effective不是一個集合,而是一個單獨的位,用來決定進程成的Effective集合。

有上述描述可知,Linux系統中的能力分為兩部分,一部分是進程能力,一部分是文件能力,而Linux內核最終檢查的是進程能力中的Effective。而文件能力和進程能力中的其他部分用來完整能力繼承、限制等方面的內容。

3、Linux能力機制的繼承

在linux終端查看capabilities的man手冊,其中有繼承關系公式如下

      P'(permitted) = (P(inheritable) & F(inheritable)) |
                           (F(permitted) & cap_bset)              //新進程的permitted有老進程的和新進程的inheritable和可執行文件的permitted及cap_bset運算得到.
      P'(effective) = F(effective) ? P'(permitted) : 0            //新進程的effective依賴可執行文件的effective位,使能:和新進程的permitted一樣,負責為空
      P'(inheritable) = P(inheritable)    [i.e., unchanged]       //新進程的inheritable直接繼承老進程的Inheritable

      說明:

      P   在執行execve函數前,進程的能力
      P'  在執行execve函數後,進程的能力
      F   可執行文件的能力
      cap_bset 系統能力的邊界值,在此處默認全為1

有測試程序如下:

father.c

#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/capability.h>
#include <errno.h>

void list_capability()
{
     struct __user_cap_header_struct cap_header_data;
     cap_user_header_t cap_header = &cap_header_data;

     struct __user_cap_data_struct cap_data_data;
     cap_user_data_t cap_data = &cap_data_data;

     cap_header->pid = getpid();
     cap_header->version = _LINUX_CAPABILITY_VERSION_1;

     if (capget(cap_header, cap_data) < 0) {
         perror("Failed capget");
         exit(1);
     }   
     printf("Cap data permitted: 0x%x,  effective: 0x%x,  inheritable:0x%x\n", 
         cap_data->permitted, cap_data->effective,cap_data->inheritable);
}

int main(void)
{
    cap_t caps = cap_init();
    cap_value_t capList[2] = {CAP_DAC_OVERRIDE, CAP_SYS_TIME};
    unsigned num_caps = 2;
    //cap_set_flag(caps, CAP_EFFECTIVE, num_caps, capList, CAP_SET);
    cap_set_flag(caps, CAP_INHERITABLE, num_caps, capList, CAP_SET);
    cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);

    if(cap_set_proc(caps))
    {   
        perror("cap_set_proc"); 
    }   

    list_capability();

    execl("/home/xlzh/code/capability/child", NULL);

    sleep(1000);
}

child.c

#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <linux/capability.h>
#include <errno.h>

void list_capability()
{
     struct __user_cap_header_struct cap_header_data;
     cap_user_header_t cap_header = &cap_header_data;

     struct __user_cap_data_struct cap_data_data;
     cap_user_data_t cap_data = &cap_data_data;

     cap_header->pid = getpid();
     cap_header->version = _LINUX_CAPABILITY_VERSION_1;

     if (capget(cap_header, cap_data) < 0) {
         perror("Failed capget");
         exit(1);
     }
     printf("child Cap data permitted: 0x%x, effective: 0x%x, inheritable:0x%x\n", cap_data->permitted, cap_data->effective,cap_data->inheritable); 
}

int main(void)
{
    list_capability();
    sleep(1000);
}

執行結果分析

xlzh@cmos:~/code/capability$ gcc child.c -o child
xlzh@cmos:~/code/capability$ gcc father.c -o father -lcap
xlzh@cmos:~/code/capability$ sudo setcap cap_dac_override,cap_sys_time+ei child
xlzh@cmos:~/code/capability$ sudo setcap cap_dac_override,cap_sys_time+ip father
 /* 單獨執行,child文件有E(effective)I(inheritable)的能力,執行child的終端沒有任何能力, 套用公式(cap_bset默認全1)
  * P'(permitted) = (P(inheritable) & F(inheritable)) | (F(permitted) & cap_bset)  // P'(permitted) = (0x0 & 0x2000002) | (0x0 & 全1),結果為0
  * P'(effective) = F(effective) ? P'(permitted) : 0                               // P'(effective) = 1 ? P'(permitted) : 0, 結果為P'(permitted),即0
  * P'(inheritable) = P(inheritable)                                               // P'(inheritable) = 0 
  * 執行結果如下所示
  */
xlzh@cmos:~/code/capability$ ./child 
child Cap data permitted: 0x0, effective: 0x0, inheritable 0x0
/* 單獨執行,child文件有E(effective)I(inheritable)的能力,執行child的father文件有E(inheritable)和P(permitted)能力, 套用公式
  * P'(permitted) = (P(inheritable) & F(inheritable)) | (F(permitted) & cap_bset)  // P'(permitted) = (0x2000002 & 0x2000002) | (0x2000002 & 全1),結果為0
  * P'(effective) = F(effective) ? P'(permitted) : 0                               // P'(effective) = 1 ? P'(permitted) : 0, 結果為P'(permitted),即0x2000002
  * P'(inheritable) = P(inheritable)                                               // P'(inheritable) = 0x2000002
* 執行結果如下所示
  */
xlzh@cmos:~/code/capability$ ./father
father Cap data permitted: 0x2000002, effective: 0x0, inheritable: 0x2000002
child Cap data permitted: 0x2000002, effective: 0x2000002, inheritable 0x2000002

上述單獨運行child可執行程序,其進程沒有任何能力。但是有father進程來啟動運行child可執行程序,其進程則有相應的能力。

上例中father和child的能力都設置的cap_dac_override和cap_sys_time兩個能力。其實兩個可執行程序設置的能力可以不同,各位讀者可以自己修改其能力,套用公式進行計算。

4、以root用戶身份執行程序

1、以root用戶身份執行程序,則該進程所有能力的的P和I都置為1

2、以root用戶身份執行程序,則該進程的E使能

/*由於執行child的終端進程沒有I能力,所有child進程的inheritable也為0, 其他能力為全1*/
xlzh@cmos:~/code/capability$ sudo ./child 
child Cap data permitted: 0xffffffff, effective: 0xffffffff, inheritable 0x0

5、進程用戶ID的變化對能力的影響

1、當一個進程的有效用戶ID從0變化到非0, 那麼所有的E能力清零

2、當一個進程的有效用戶ID從非0變化到0,那麼現有的P集合拷貝到E集合

3、如果一個進行原來的真實用戶ID,有效用戶ID,保存設置用戶ID是0,由於某些操作這些ID都變成了非0,那麼所有的的P和E能力全部清理

4、如果一個文件系統的用戶ID從0變成非0,那麼以下的能力在E集合中清除:CAP_CHOWN, CAP_DAC_OVERRIDE,  CAP_DAC_READ_SEARCH,  CAP_FOWNER,  CAP_FSETID,  CAP_LINUX_IMMUTABLE  (since  Linux  2.2.30),  CAP_MAC_OVERRIDE,  CAP_MKNOD,如果一個文件系統的用戶ID從0變成非0,那麼在P集合中使能的能力將設置到E集合中。

 

參考:

man capabilities

http://www.cnblogs.com/iamfy/archive/2012/09/20/2694977.html

Copyright © Linux教程網 All Rights Reserved