在以往的UNIX系統上,為了做進程的權限檢查,把進程分為兩類:特權進程(有效用戶ID是0)和非特權進程(有效用戶ID是非0)。特權進程可以通過內核所有的權限檢查,而非特權進程的檢查則是基於進程的身份(有效ID,有效組及補充組信息)進行。
從linux內核2.2開始,Linux把超級用戶不同單元的權限分開,可以單獨的開啟和禁止,稱為能力(capability)。可以將能力賦給普通的進程,使其可以做root用戶可以做的事情。
此時內核在檢查進程是否具有某項權限的時候,不再檢查該進程的是特權進程還是非特權進程,而是檢查該進程是否具有其進行該操作的能力。例如當進程設置系統時間,內核會檢查該進程是否有設置系統時間(CAP_SYS_TIME)的能力,而不是檢查進程的ID是否為0;
當前Linux系統中共有37項特權,可在/usr/include/linux/capability.h文件中查看
一個完整的能力機制需要滿足以下三個條件:
1、對進程的所有特權操作,linux內核必須檢查該進程該操作的特權位是否使能。
2、Linux內核必須提供系統調用,允許進程能力的修改與恢復。
3、文件系統必須支持能力機制可以附加到一個可執行文件上,但文件運行時,將其能力附加到進程當中。
到linux內核版本2.6.24為止,上述條件的1、2可以滿足。從linux內核2.6.24開始,上述3個條件可以都可以滿足
每個進程包括三個能力集,含義如下:
Permitted: 它是effective capabilities和Inheritable capability的超集。如果一個進程在Permitted集合中丟失一個能力,它無論如何不能再次獲取該能力(除非特權用戶再次賦予它)
Inheritable: 它是表明該進程可以通過execve繼承給新進程的能力。
Effecitive: Linux內核真正檢查的能力集。
從2.6.24開始,Linux內核可以給可執行文件賦予能力,可執行文件的三個能力集含義如下:
Permitted:該能力當可執行文件執行時自動附加到進程中,忽略Inhertiable capability。
Inheritable:它與進程的Inheritable集合做與操作,決定執行execve後新進程的Permitted集合。
Effective: 文件的Effective不是一個集合,而是一個單獨的位,用來決定進程成的Effective集合。
有上述描述可知,Linux系統中的能力分為兩部分,一部分是進程能力,一部分是文件能力,而Linux內核最終檢查的是進程能力中的Effective。而文件能力和進程能力中的其他部分用來完整能力繼承、限制等方面的內容。
在linux終端查看capabilities的man手冊,其中有繼承關系公式如下
P'(permitted) = (P(inheritable) & F(inheritable)) |
(F(permitted) & cap_bset) //新進程的permitted有老進程的和新進程的inheritable和可執行文件的permitted及cap_bset運算得到.
P'(effective) = F(effective) ? P'(permitted) : 0 //新進程的effective依賴可執行文件的effective位,使能:和新進程的permitted一樣,負責為空
P'(inheritable) = P(inheritable) [i.e., unchanged] //新進程的inheritable直接繼承老進程的Inheritable
說明:
P 在執行execve函數前,進程的能力
P' 在執行execve函數後,進程的能力
F 可執行文件的能力
cap_bset 系統能力的邊界值,在此處默認全為1
有測試程序如下:
father.c
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/capability.h>
#include <errno.h>
void list_capability()
{
struct __user_cap_header_struct cap_header_data;
cap_user_header_t cap_header = &cap_header_data;
struct __user_cap_data_struct cap_data_data;
cap_user_data_t cap_data = &cap_data_data;
cap_header->pid = getpid();
cap_header->version = _LINUX_CAPABILITY_VERSION_1;
if (capget(cap_header, cap_data) < 0) {
perror("Failed capget");
exit(1);
}
printf("Cap data permitted: 0x%x, effective: 0x%x, inheritable:0x%x\n",
cap_data->permitted, cap_data->effective,cap_data->inheritable);
}
int main(void)
{
cap_t caps = cap_init();
cap_value_t capList[2] = {CAP_DAC_OVERRIDE, CAP_SYS_TIME};
unsigned num_caps = 2;
//cap_set_flag(caps, CAP_EFFECTIVE, num_caps, capList, CAP_SET);
cap_set_flag(caps, CAP_INHERITABLE, num_caps, capList, CAP_SET);
cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);
if(cap_set_proc(caps))
{
perror("cap_set_proc");
}
list_capability();
execl("/home/xlzh/code/capability/child", NULL);
sleep(1000);
}
child.c
#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <linux/capability.h>
#include <errno.h>
void list_capability()
{
struct __user_cap_header_struct cap_header_data;
cap_user_header_t cap_header = &cap_header_data;
struct __user_cap_data_struct cap_data_data;
cap_user_data_t cap_data = &cap_data_data;
cap_header->pid = getpid();
cap_header->version = _LINUX_CAPABILITY_VERSION_1;
if (capget(cap_header, cap_data) < 0) {
perror("Failed capget");
exit(1);
}
printf("child Cap data permitted: 0x%x, effective: 0x%x, inheritable:0x%x\n", cap_data->permitted, cap_data->effective,cap_data->inheritable);
}
int main(void)
{
list_capability();
sleep(1000);
}
執行結果分析
xlzh@cmos:~/code/capability$ gcc child.c -o child xlzh@cmos:~/code/capability$ gcc father.c -o father -lcap xlzh@cmos:~/code/capability$ sudo setcap cap_dac_override,cap_sys_time+ei child xlzh@cmos:~/code/capability$ sudo setcap cap_dac_override,cap_sys_time+ip father /* 單獨執行,child文件有E(effective)I(inheritable)的能力,執行child的終端沒有任何能力, 套用公式(cap_bset默認全1) * P'(permitted) = (P(inheritable) & F(inheritable)) | (F(permitted) & cap_bset) // P'(permitted) = (0x0 & 0x2000002) | (0x0 & 全1),結果為0
* P'(effective) = F(effective) ? P'(permitted) : 0 // P'(effective) = 1 ? P'(permitted) : 0, 結果為P'(permitted),即0
* P'(inheritable) = P(inheritable) // P'(inheritable) = 0
* 執行結果如下所示
*/ xlzh@cmos:~/code/capability$ ./child child Cap data permitted: 0x0, effective: 0x0, inheritable 0x0
/* 單獨執行,child文件有E(effective)I(inheritable)的能力,執行child的father文件有E(inheritable)和P(permitted)能力, 套用公式 * P'(permitted) = (P(inheritable) & F(inheritable)) | (F(permitted) & cap_bset) // P'(permitted) = (0x2000002 & 0x2000002) | (0x2000002 & 全1),結果為0 * P'(effective) = F(effective) ? P'(permitted) : 0 // P'(effective) = 1 ? P'(permitted) : 0, 結果為P'(permitted),即0x2000002
* P'(inheritable) = P(inheritable) // P'(inheritable) = 0x2000002
* 執行結果如下所示
*/
xlzh@cmos:~/code/capability$ ./father father Cap data permitted: 0x2000002, effective: 0x0, inheritable: 0x2000002 child Cap data permitted: 0x2000002, effective: 0x2000002, inheritable 0x2000002
上述單獨運行child可執行程序,其進程沒有任何能力。但是有father進程來啟動運行child可執行程序,其進程則有相應的能力。
上例中father和child的能力都設置的cap_dac_override和cap_sys_time兩個能力。其實兩個可執行程序設置的能力可以不同,各位讀者可以自己修改其能力,套用公式進行計算。
1、以root用戶身份執行程序,則該進程所有能力的的P和I都置為1
2、以root用戶身份執行程序,則該進程的E使能
/*由於執行child的終端進程沒有I能力,所有child進程的inheritable也為0, 其他能力為全1*/ xlzh@cmos:~/code/capability$ sudo ./child child Cap data permitted: 0xffffffff, effective: 0xffffffff, inheritable 0x0
1、當一個進程的有效用戶ID從0變化到非0, 那麼所有的E能力清零
2、當一個進程的有效用戶ID從非0變化到0,那麼現有的P集合拷貝到E集合
3、如果一個進行原來的真實用戶ID,有效用戶ID,保存設置用戶ID是0,由於某些操作這些ID都變成了非0,那麼所有的的P和E能力全部清理
4、如果一個文件系統的用戶ID從0變成非0,那麼以下的能力在E集合中清除:CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_LINUX_IMMUTABLE (since Linux 2.2.30), CAP_MAC_OVERRIDE, CAP_MKNOD,如果一個文件系統的用戶ID從0變成非0,那麼在P集合中使能的能力將設置到E集合中。
參考:
man capabilities
http://www.cnblogs.com/iamfy/archive/2012/09/20/2694977.html
