Arbeiten mit Linux-Funktionen

• Einführung
• Voraussetzungen
• Erläuterung
• Arbeiten mit Dateifunktionen
• Fazit

Einführung

Linux-Funktionen sind spezielle Attribute im Linux-Kernel, die Prozessen und ausführbaren Binärdateien bestimmte Berechtigungen gewähren, die normalerweise Prozessen vorbehalten sind, deren effektive Benutzer-ID 0 ist (Der Root-Benutzer und nur der Root-Benutzer haben die UID 0).

In diesem Artikel werden einige der verfügbaren Funktionen, ihre Verwendung und das Festlegen und Entfernen dieser Funktionen erläutert. Beachten Sie, dass das Festlegen von Funktionen für ausführbare Dateien die Sicherheit Ihres Systems gefährden kann. Daher sollten Sie in Betracht ziehen, auf einem Nicht-Produktionssystem zu testen, bevor Sie Funktionen in der Produktion implementieren.

Voraussetzungen

• Ein Linux-System, auf dem Sie Root-Zugriff haben (entweder über den Root-Benutzer oder einen Benutzer mit Sudo-Zugriff).

Erläuterung

Im Wesentlichen besteht das Ziel von Funktionen darin, die Leistung von 'root' in bestimmte Berechtigungen zu unterteilen. Wenn also ein Prozess oder eine Binärdatei mit einer oder mehreren Funktionen ausgenutzt wird, ist der potenzielle Schaden im Vergleich zu demselben Prozess, der als root ausgeführt wird, begrenzt.

Für Prozesse und ausführbare Dateien können Funktionen festgelegt werden. Ein Prozess, der sich aus der Ausführung einer Datei ergibt, kann die Funktionen dieser Datei nutzen.

Die unter Linux implementierten Funktionen sind zahlreich und viele wurden seit ihrer ursprünglichen Version hinzugefügt. Einige von ihnen sind wie folgt:

• CAP_CHOWN: Nehmen Sie Änderungen an der Benutzer-ID und der Gruppen-ID von Dateien vor
• CAP_DAC_OVERRIDE: DAC (Discretionary Access Control) überschreiben. Beispiel: Um die Lese- / Schreib- / Ausführungsberechtigungsprüfungen zu umgehen.
• CAP_KILL: Berechtigungsprüfungen umgehen, um Signale an Prozesse zu senden.
• CAP_SYS_NICE: Erhöhen Sie die Freundlichkeit von Prozessen ( Eine Erklärung der Freundlichkeit finden Sie hier )
• CAP_SYS_TIME: Stellen Sie das System und die Echtzeit-Hardware-Uhr ein

Führen Sie die vollständige Liste aus man 7 capabilities.

Funktionen werden in Gruppen zugewiesen, nämlich "zulässig", "vererbbar", "effektiv" und "umgebend" für Threads und "zulässig", "vererbbar" und "effektiv" für Dateien. Diese Sets definieren unterschiedliche komplexe Verhaltensweisen. Ihre vollständige Erklärung würde den Rahmen dieses Artikels sprengen.

Beim Festlegen von Funktionen für Dateien verwenden wir beispielsweise fast immer "zulässig" und "effektiv" CAP_DAC_OVERRIDE+ep. Beachten Sie die +ep, die die oben genannten Sätze bezeichnet.

Arbeiten mit Dateifunktionen

Erforderliche Pakete

Es gibt zwei Hauptwerkzeuge, getcapmit setcapdenen diese Attribute angezeigt und festgelegt werden können.

• Unter Debian und Ubuntu werden diese Tools vom libcap2-binPaket bereitgestellt, das installiert werden kann mit:apt install libcap2-bin
• Unter CentOS und Fedora wird das libcapPaket benötigt:yum install libcap
• Unter Arch Linux werden sie auch bereitgestellt von libcap:pacman -S libcap

Lesefähigkeiten

Um anzuzeigen, ob für eine Datei Funktionen festgelegt wurden, können Sie einfach Folgendes ausführen getcap /full/path/to/binary:

 root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

Wenn Sie herausfinden möchten, welche Funktionen bereits auf Ihrem System festgelegt sind, können Sie Ihr gesamtes Dateisystem mit dem folgenden Befehl rekursiv durchsuchen:

getcap -r /

Aufgrund der Tatsache, dass virtuelle Dateisysteme (z. B. /proc) diese Vorgänge nicht unterstützen, führt der obige Befehl zu Tausenden von Fehlern. Verwenden Sie für eine sauberere Ausgabe Folgendes:

getcap -r / 2>/dev/null 

Zuweisen und Entfernen von Funktionen

Verwenden Sie, um eine bestimmte Funktion für eine Datei festzulegen setcap "capability_string" /path/to/file.

Verwenden Sie, um alle Funktionen aus einer Datei zu entfernen setcap -r /path/to/file.

Zur Demonstration erstellen wir eine leere Datei im aktuellen Verzeichnis, geben ihr eine Funktion und entfernen sie. Beginnen Sie mit Folgendem:

root@demo:~# touch testfile
root@demo:~# getcap testfile

Der zweite Befehl erzeugt keine Ausgabe, was bedeutet, dass diese Datei keine Funktionen hat.

Legen Sie als Nächstes eine Funktion für die Datei fest:

root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

Als Beispiel wurde "CAP_CHOWN + ep" verwendet, aber jede andere kann auf diese Weise zugewiesen werden.

Entfernen Sie nun alle Funktionen aus testfile:

root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

Auch hier erfolgt keine Ausgabe, da "CAP_CHOWN + ep" entfernt wurde.

Fazit

Funktionen haben viele Verwendungsmöglichkeiten und können dazu beitragen, die Sicherheit Ihrer Systeme zu erhöhen. Wenn Sie das SUID-Bit in Ihren ausführbaren Dateien verwenden, sollten Sie es durch die erforderliche spezifische Funktion ersetzen.