Bekerja dengan Kemampuan Linux

• pengantar
• Prasyarat
• Penjelasan
• Bekerja dengan kemampuan file
• Kesimpulan

pengantar

Kemampuan Linux adalah atribut khusus dalam kernel Linux yang memberikan proses dan hak istimewa khusus biner yang dieksekusi yang biasanya dicadangkan untuk proses yang ID pengguna efektifnya adalah 0 (Pengguna root, dan hanya pengguna root, memiliki UID 0).

Artikel ini akan menjelaskan beberapa kemampuan yang tersedia, penggunaannya, dan cara mengatur serta menghapusnya. Harap dicatat bahwa pengaturan kapabilitas pada executable berpotensi membahayakan keamanan sistem Anda. Karena itu, Anda harus mempertimbangkan pengujian pada sistem non-produksi sebelum menerapkan kemampuan dalam produksi.

Prasyarat

• Sistem Linux tempat Anda memiliki akses root (baik melalui pengguna root atau pengguna dengan akses sudo).

Penjelasan

Pada dasarnya, tujuan kapabilitas adalah untuk membagi kekuatan 'root' menjadi hak istimewa tertentu, sehingga jika suatu proses atau biner yang memiliki satu atau lebih kapabilitas dieksploitasi, potensi kerusakan terbatas jika dibandingkan dengan proses yang sama yang dijalankan sebagai root.

Kemampuan dapat diatur pada proses dan file yang dapat dieksekusi. Suatu proses yang dihasilkan dari eksekusi file dapat memperoleh kemampuan file itu.

Kemampuan yang diimplementasikan di Linux sangat banyak, dan banyak yang telah ditambahkan sejak rilis aslinya. Beberapa di antaranya adalah sebagai berikut:

• CAP_CHOWN: Buat perubahan pada ID Pengguna dan ID Grup file
• CAP_DAC_OVERRIDE: Override DAC (Discretionary Access Control). Sebagai contoh, vto mem-bypass baca / tulis / jalankan pemeriksaan izin.
• CAP_KILL: Izin bypass memeriksa pengiriman sinyal ke proses.
• CAP_SYS_NICE: Naikkan kebaikan proses ( Penjelasan tentang kebaikan dapat ditemukan di sini )
• CAP_SYS_TIME: Mengatur sistem dan jam perangkat keras waktu-nyata

Untuk daftar lengkap, jalankan man 7 capabilities.

Kemampuan ditugaskan dalam set, yaitu "diizinkan", "diwariskan", "efektif" dan "ambient" untuk utas, dan "diizinkan", "diwariskan" dan "efektif" untuk file. Set ini mendefinisikan perilaku kompleks yang berbeda, penjelasan lengkapnya berada di luar cakupan artikel ini.

Saat mengatur kemampuan pada file, kita hampir selalu menggunakan "diizinkan" dan "efektif", misalnya CAP_DAC_OVERRIDE+ep. Perhatikan +ep, yang menunjukkan set tersebut di atas.

Bekerja dengan kemampuan file

Paket yang dibutuhkan

Ada dua alat utama, getcapdan setcapyang masing-masing dapat melihat dan mengatur atribut ini.

• Pada Debian dan Ubuntu, alat-alat ini disediakan oleh libcap2-binpaket, yang dapat diinstal dengan:apt install libcap2-bin
• Pada CentOS dan Fedora, libcappaket diperlukan:yum install libcap
• Di Arch Linux, mereka disediakan oleh libcapjuga:pacman -S libcap

Kemampuan membaca

Untuk melihat apakah file memiliki kapabilitas yang ditetapkan, Anda dapat menjalankannya getcap /full/path/to/binary, misalnya:

 root@demo:~# getcap /usr/bin/ping
 /usr/bin/ping = cap_net_raw+ep
 root@demo:~# getcap /usr/bin/rcp
 /usr/bin/rcp = cap_net_bind_service+ep

Jika Anda ingin mengetahui kemampuan apa yang sudah ditetapkan pada sistem Anda, Anda dapat mencari seluruh sistem file secara rekursif dengan perintah berikut:

getcap -r /

Karena kenyataan bahwa sistem file virtual (seperti /proc) tidak mendukung operasi ini, perintah di atas akan menghasilkan ribuan kesalahan, jadi untuk output yang lebih bersih gunakan yang berikut:

getcap -r / 2>/dev/null 

Menetapkan dan menghapus kemampuan

Untuk mengatur kemampuan tertentu pada file, gunakan setcap "capability_string" /path/to/file.

Untuk menghapus semua kemampuan dari file, gunakan setcap -r /path/to/file.

Untuk demonstrasi, kami akan membuat file kosong di direktori saat ini, memberikannya kemampuan, dan menghapusnya. Mulai dengan yang berikut ini:

root@demo:~# touch testfile
root@demo:~# getcap testfile

Perintah kedua tidak menghasilkan output, artinya file ini tidak memiliki kemampuan apa pun.

Selanjutnya, atur kemampuan untuk file:

root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep

"CAP_CHOWN + ep" digunakan sebagai contoh, tetapi yang lain dapat ditugaskan dengan cara ini.

Sekarang, hapus semua kemampuan dari testfile:

root@demo:~# setcap -r testfile
root@demo:~# getcap testfile

Sekali lagi, tidak akan ada output, karena "CAP_CHOWN + ep" telah dihapus.

Kesimpulan

Kemampuan memiliki banyak kegunaan potensial dan dapat membantu memperketat keamanan sistem Anda. Jika Anda menggunakan bit SUID pada executable Anda, pertimbangkan untuk menggantinya dengan kemampuan spesifik yang dibutuhkan.