我的自定义程序以非 root 权限执行,用户 ID 为:uid: 1000 euid: 0
其中在 fork() 之后,子进程中的 execv() 被调用以运行 SSH 客户端服务.由于我在非特权用户下启动程序,当尝试将套接字绑定(bind)到设备时,Linux 内核会执行所有权限检查,导致子例程 sock_setbindtodevice()
在检查 CAP_NET_RAW时失败
能力如下所示。
我想的解决办法是先在子进程中获取root权限,进行权限操作,比如设置需要的能力,再降回非root。
这里的一个问题是,需要什么才能降到非 root,因为当执行 ssh 命令时,我希望生成的 DSA/RSA
key 存储在 $ HOME/.ssh/known_hosts
而不是 root/.ssh/known_hosts
。
请在下面找到代码片段:
void
global_exec_func (const char *proc_name, const char *proc_path, char **arg_list)
{
pid_t pid;
int status, euid;
struct __user_cap_header_struct cap_header_data;
cap_user_header_t cap_header = &cap_header_data;
struct __user_cap_data_struct cap_data_data;
cap_user_data_t cap_data = &cap_data_data;
pid = fork();
if (pid < 0) {
printf("%% can't fork process %s", proc_name);
return;
}
/*
* Child process.
*/
if (pid == 0) {
euid = geteuid(); /* Storing euid */
/*Gaining root privileges */
if (setuid(0) < 0) {
printf("setuid(0) failed");
}
printf("After setting: getuid: %d geteuid: %d\n", getuid(),
geteuid());
cap_header->pid = 0;
cap_header->version = _LINUX_CAPABILITY_VERSION;
/* Get the capabilities */
if(capget(cap_header, cap_data) < 0) {
printf("failed capget error:%s", strerror(errno));
}
cap_data->effective = (1 << CAP_NET_RAW); /* Set bit 13 */
cap_data->inheritable = 0;
/* Set the capabilities */
if (capset(cap_header, cap_data) < 0) {
printf("failed capset error:%s", strerror(errno));
}
/* Drop back privileges */
if (seteuid(euid) < 0) {
printf("seteuid(euid) failed");
}
printf("After drop: getuid: %d geteuid: %d\n", getuid(), geteuid());
prctl(PR_SET_KEEPCAPS, 1);
execv(proc_path, arg_list);
exit(1);
}
/*
* Parent Process code follows
*/
Result:
[local]linux#ssh 101.1.1.101
After setting: getuid: 0 geteuid: 0
After drop: getuid: 0 geteuid: 0
The authenticity of host '101.1.1.101 (101.1.1.101)' can't be established.
DSA key fingerprint is 0c:61:df:01:93:74:1f:5f:49:34:f4:4e:06:e8:d7:5f.
Are you sure you want to continue connecting (yes/no)? ^C
[local]linux#
结果显示 ssh 成功,但此时程序以 root
身份运行,这是不正确的。我怎样才能返回到 UID 作为 uid: 1000 euid: 0
以便 ssh key 存储在正确的目录中。
请对我的解决方案发表评论和建议,是否真的解决了问题?
最佳答案
如果您的程序使用有效用户 ID root 执行,那么您确实拥有 root 权限。
在 Linux 中,capabilities分为三组:可继承、允许和有效。可继承定义哪些功能在 exec()
中保持允许。允许定义流程允许哪些功能。 Effective 定义哪些功能当前有效。
编辑添加:当包含将被 exec()
执行的二进制文件的文件系统确实支持文件系统功能时,这些总是会影响执行进程将具有的功能.请参阅 man 7 capabilities 中的 execve()
期间的功能转换手册页。
将进程的所有者或组从根更改为非根时,有效功能集始终会被清除。默认情况下,允许的功能集也被清除,但在身份更改之前调用 prctl(PR_SET_KEEPCAPS, 1L)
告诉内核保持允许的集完好无损。
因此,要拥有 CAP_NET_RAW
功能,您的程序必须在允许集和有效集中都拥有它。如果您希望 CAP_NET_RAW
在 exec()
上保持有效,则它必须包含在所有三个功能集中。
编辑添加:如果 exec()
的目标支持文件功能,则文件功能还必须在继承和有效集中包含这些功能。 (仅在继承和有效集中包含能力不会授予能力,因为它不在文件能力的允许集中;但是,如果执行者具有,则允许将能力从执行者传递给执行者就足够了能力)。
您可以使用 setcap
命令将特定功能授予二进制文件。 (如今大多数 Linux 文件系统都支持这些文件功能。)它不需要特权或 setuid。请记住将所需的功能添加到允许集和有效集。
编辑以添加一些示例:
将 CAP_NET_RAW
授予 /usr/bin/myprog
(不能是 setuid 或 setgid root):
sudo setcap 'cap_net_raw=pe' /usr/bin/myprog
默认情况下,不将CAP_NET_RAW
授予/usr/bin/myprog
,但如果执行者有能力(在可继承和允许的集合中),保留能力(在可继承和允许的集合中,并在有效集合中激活它):
sudo setcap 'cap_net_raw=ie' /usr/bin/myprog
如果您的程序无论如何都必须是 setuid root,那么您可以使用例如
#define _GNU_SOURCE
#include <unistd.h>
#include <sys/types.h>
#include <sys/capability.h>
#include <sys/prctl.h>
#define NEED_CAPS 1
static const cap_value_t need_caps[NEED_CAPS] = { CAP_NET_RAW };
int main(void)
{
uid_t real = getuid();
cap_t caps;
/* Elevate privileges */
if (setresuid(0, 0, 0))
return 1; /* Fatal error, probably not setuid root */
/* Add need_caps to current capabilities. */
caps = cap_get_proc();
if (cap_set_flag(caps, CAP_PERMITTED, NEED_CAPS, need_caps, CAP_SET) ||
cap_set_flag(caps, CAP_EFFECTIVE, NEED_CAPS, need_caps, CAP_SET) ||
cap_set_flag(caps, CAP_INHERITABLE, NEED_CAPS, need_caps, CAP_SET))
return 1; /* Fatal error */
/* Update capabilities */
if (cap_set_proc(caps))
return 1; /* Fatal error */
/* Retain capabilities over an identity change */
if (prctl(PR_SET_KEEPCAPS, 1L))
return 1; /* Fatal error */
/* Return to original, real-user identity */
if (setresuid(real, real, real))
return 1; /* Fatal error */
/* Because the identity changed, we need to
* re-install the effective set. */
if (cap_set_proc(caps))
return 1; /* Fatal error */
/* Capability set is no longer needed. */
cap_free(caps);
/* You now have the CAP_NET_RAW capability.
* It will be retained over fork() and exec().
*/
return 0;
}
关于更改用户 ID 以分配附加功能,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17743062/