转自:https://blog.csdn.net/wangpengqi/article/details/9821227

一)概述:

)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.

)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概述,即sudo可以配置某个用户可以执行某个命令,可以更改某个文件,而capability是让某个程序拥有某种能力,例如:

capability让/tmp/testkill程序可以kill掉其它进程,但它不能mount设备节点到目录,也不能重启系统,因为我们只指定了它kill的能力,即使程序有问题也不会超出能力范围.

)每个进程有三个和能力有关的位图:inheritable(I),permitted(P)和effective(E),对应进程描述符task_struct(include/linux/sched.h)里面的cap_effective, cap_inheritable, cap_permitted,所以我们可以查看/proc/PID/status来查看进程的能力.

)cap_effective:当一个进程要进行某个特权操作时,操作系统会检查cap_effective的对应位是否有效,而不再是检查进程的有效UID是否为0.

例如,如果一个进程要设置系统的时钟,Linux的内核就会检查cap_effective的CAP_SYS_TIME位(第25位)是否有效.

)cap_permitted:表示进程能够使用的能力,在cap_permitted中可以包含cap_effective中没有的能力,这些能力是被进程自己临时放弃的,也可以说cap_effective是cap_permitted的一个子集.

)cap_inheritable:表示能够被当前进程执行的程序继承的能力.

二)capability的设定与清除

我们在下面的程序中给当前的进程设定能力,最后我们清除掉所设定的能力,源程序如下:

    #include <stdio.h>

    #include <stdlib.h>

    #include <string.h>

    #include <sys/types.h>

    #include <unistd.h>

    #undef _POSIX_SOURCE

    #include <sys/capability.h>

    extern int errno;

    void whoami(void)

    {

        printf("uid=%i  euid=%i  gid=%i\n", getuid(), geteuid(), getgid());

    }

    void listCaps()

    {

        cap_t caps = cap_get_proc();

        ssize_t y = ;

        printf("The process %d was give capabilities %s\n",(int) getpid(), cap_to_text(caps, &y));

        fflush();

        cap_free(caps);

    }

    int main(int argc, char **argv)

    {

        int stat;

        whoami();

        stat = setuid(geteuid());

        pid_t parentPid = getpid();

        if(!parentPid)

        return ;

        cap_t caps = cap_init();

        cap_value_t capList[] ={ CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP } ;

        unsigned num_caps = ;

        cap_set_flag(caps, CAP_EFFECTIVE, num_caps, capList, CAP_SET);

        cap_set_flag(caps, CAP_INHERITABLE, num_caps, capList, CAP_SET);

        cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);

        if (cap_set_proc(caps)) {

            perror("capset()");

            return EXIT_FAILURE;

        }

        listCaps();

        printf("dropping caps\n");

        cap_clear(caps);  // resetting caps storage

        if (cap_set_proc(caps)) {

            perror("capset()");

            return EXIT_FAILURE;

        }

        listCaps();

        cap_free(caps);

        return ;

    }

编译:

gcc capsettest.c -o capsettest -lcap

运行:

./capsettest

uid=  euid=  gid=

The process  was give capabilities = cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw+eip

dropping caps

The process  was give capabilities =

注:

)我们对该进程增加了5种能力,随后又清除了所有能力.

)首先通过cap_init()初始化存放cap能力值的状态,随后通过cap_set_flag函数的调用,将三种位图的能力设置给了变量caps,再通过cap_set_proc(caps)设定当前进程的能力值,通过cap_get_proc()返回当前进程的能力值,最后通过cap_free(caps)释放能力值.

)cap_set_flag函数的原型是:

int cap_set_flag(cap_t cap_p, cap_flag_t flag, int ncap,const cap_value_t *caps, cap_flag_value_t value);

我们这里的调用语句是:cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);

第一个参数cap_p是存放能力值的变量,是被设定值.这里是caps.

第二个参数flag是是三种能力位图,这里是CAP_PERMITTED.

第三个参数ncap是要设定能力的个数,这里是num_caps,也就是5.

第四个参数*caps是要设定的能力值,这里是capList数组,也就是CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP.

第五个参数value是决定要设定还是清除,这里是CAP_SET.

)cap_set_proc函数的原型是:int cap_set_proc(cap_t cap_p);

cap_set_proc函数通过cap_p中的能力值设定给当前的进程.

)cap_get_proc函数的原型是:cap_t cap_get_proc(void);

cap_get_proc函数返回当前进程的能力值给cap变量.

)cap_free函数的原型是:cap_free(caps);

cap_free函数清理/释放cap变量.

)如果我们fork()了子进程,那么子进程继承父进程的所有能力.

)不能单独设定CAP_EFFECTIVE,CAP_INHERITABLE位图,必须要和CAP_PERMITTED联用,且CAP_PERMITTED一定要是其它两个位图的超集.

)如果两次调用cap_set_proc函数,第二次调用的值力值不能少于或多于第一次调用.如第一次我们授权chown,setuid能力,第二次只能是chown,setuid不能是其它的能力值.

)普通用户不能给进程设定能力.

三)进程的能力掩码:

我们可以通过下面的程序获取当前进程的掩码,它是通过capget函数来获取指定进程的能力掩码,当然我们也可以用capset来设定掩码,下面获取掩码的体现:

    #undef _POSIX_SOURCE

    #include <stdlib.h>

    #include <stdio.h>

    #include <sys/types.h>

    #include <unistd.h>

    #include <linux/capability.h>

    #include <errno.h>

    int main()

    {

        struct __user_cap_header_struct cap_header_data;

        cap_user_header_t cap_header = &cap_header_data;

        struct __user_cap_data_struct cap_data_data;

        cap_user_data_t cap_data = &cap_data_data;

        cap_header->pid = getpid();

        cap_header->version = _LINUX_CAPABILITY_VERSION_1;

        if (capget(cap_header, cap_data) < ) {

            perror("Failed capget");

            exit();

        }

        printf("Cap data 0x%x, 0x%x, 0x%x\n", cap_data->effective,cap_data->permitted, cap_data->inheritable);

    }

gcc capget0.c -o capget0 -lcap

普通用户:

./capget0

Cap data 0x0, 0x0, 0x0

超级用户:

/home/test/capget0

Cap data 0xffffffff, 0xffffffff, 0x0

这也说明了默认情况下,root运行的进程是什么权限都有,而普通用户则什么权限都没有.

我们可以将本程序与上面的程序进行整合,如下:

    #include <stdio.h>

    #include <stdlib.h>

    #include <string.h>

    #include <sys/types.h>

    #include <unistd.h>

    #undef _POSIX_SOURCE

    #include <sys/capability.h>

    extern int errno;

    void whoami(void)

    {

        printf("uid=%i  euid=%i  gid=%i\n", getuid(), geteuid(), getgid());

    }

    void listCaps()

    {

        cap_t caps = cap_get_proc();

        ssize_t y = ;

        printf("The process %d was give capabilities %s\n",(int) getpid(), cap_to_text(caps, &y));

        fflush();

        cap_free(caps);

    }

    int main(int argc, char **argv)

    {

        int stat;

        whoami();

        stat = setuid(geteuid());

        pid_t parentPid = getpid();

        if(!parentPid)

        return ;

        cap_t caps = cap_init();

        cap_value_t capList[] ={ CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP } ;

        unsigned num_caps = ;

        cap_set_flag(caps, CAP_EFFECTIVE, num_caps, capList, CAP_SET);

        cap_set_flag(caps, CAP_INHERITABLE, num_caps, capList, CAP_SET);

        cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);

        if (cap_set_proc(caps)) {

            perror("capset()");

            return EXIT_FAILURE;

        }

        listCaps();

        cap_free(caps);

        struct __user_cap_header_struct cap_header_data;

        cap_user_header_t cap_header = &cap_header_data;

        struct __user_cap_data_struct cap_data_data;

        cap_user_data_t cap_data = &cap_data_data;

        cap_header->pid = getpid();

        cap_header->version = _LINUX_CAPABILITY_VERSION_1;

        if (capget(cap_header, cap_data) < ) {

            perror("Failed capget");

            exit();

        }

        printf("Cap data 0x%x, 0x%x, 0x%x\n", cap_data->effective,cap_data->permitted, cap_data->inheritable);

        sleep();

        return ;

    }

编译并执行:

gcc capsettest.c -o capsettest -lcap

./capsettest

uid=  euid=  gid=

The process  was give capabilities = cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw+eip

Cap data 0x25c0, 0x25c0, 0x25c0

注:0x25c0=   (二进制)

对映的能力如下:

cap_setgid=(位)

cap_setuid=(位)

cap_setpcap=(位)

cap_net_bind_service=(位)

cap_net_raw=(位)

在程序sleep的时候,我们查看一下进程的status,如下:

cat /proc/`pgrep capsettest`/status

略

CapInh: 00000000000025c0

CapPrm: 00000000000025c0

CapEff: 00000000000025c0

CapBnd: ffffffffffffffff

略

我们看到进程的status也反映了它的能力状态.

CapBnd是系统的边界能力,我们无法改变它.

Linux的capability深入分析(1)【转】的更多相关文章

  1. Linux的capability深入分析

    Linux的capability深入分析详见:http://blog.csdn.net/u014338577/article/details/48791953 lxd中对容器能力的限制: 普通用户不能 ...

  2. Linux的capability深入分析(1)

    一)概述:     1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的 ...

  3. Linux的capability深入分析(2)【转】

    转自:https://blog.csdn.net/wangpengqi/article/details/9821231 rpm -ql libcap-2.16-5.2.el6.i686  /lib/l ...

  4. (转) Linux的capability深入分析(2)

    一)capability的工具介绍   在我们的试验环境是RHEL6,libcap-2.16软件包中包含了相关的capability设置及查看工作,如下:   rpm -ql libcap-2.16- ...

  5. Linux select 机制深入分析

    Linux select 机制深入分析            作为IO复用的实现方式.select是提高了抽象和batch处理的级别,不是传统方式那样堵塞在真正IO读写的系统调用上.而是堵塞在sele ...

  6. 转载:linux capability深入分析

    转至http://www.cnblogs.com/iamfy/archive/2012/09/20/2694977.html 一)概述:  1)从2.1版开始,Linux内核有了能力(capabili ...

  7. Linux能力(capability)机制的继承

    1.Linux能力机制概述 在以往的UNIX系统上,为了做进程的权限检查,把进程分为两类:特权进程(有效用户ID是0)和非特权进程(有效用户ID是非0).特权进程可以通过内核所有的权限检查,而非特权进 ...

  8. 给linux安全模块LSM添加可链式调用模块(一)

    前些日子接了个外包的活,了解了一下Linux安全模块,发现了安全模块中的一些问题. 关于linux安全模块LSM在此就不多说了,大家google下就明白了. 这里主要介绍的是如何修改这个模块,使它可链 ...

  9. Linux VFS机制简析(一)

    Linux VFS机制简析(一) 本文主要基于Linux内核文档,简单分析Linux VFS机制,以期对编写新的内核文件系统(通常是给分布式文件系统编写内核客户端)的场景有所帮助. 个人渊源 切入正文 ...

随机推荐

  1. 利用Python攻破12306的最后一道防线

    各位同学大家好,我是强子,好久没跟大家带来最新的技术文章了,最近有好几个同学问我12306自动抢票能否实现,我就趁这两天有时间用Python做了个12306自动抢票的项目,在这里我来带着大家一起来看看 ...

  2. Leetcode 242.有效的字母异位词 By Python

    给定两个字符串 s 和 t ,编写一个函数来判断 t 是否是 s 的一个字母异位词. 示例 1: 输入: s = "anagram", t = "nagaram" ...

  3. [luogu#2019/03/10模拟赛][LnOI2019]长脖子鹿省选模拟赛赛后总结

    t1-快速多项式变换(FPT) 题解 看到这个\(f(x)=a_0+a_1x+a_2x^2+a_3x^3+ \cdots + a_nx^n\)式子,我们会想到我们学习进制转换中学到的,那么我们就只需要 ...

  4. qrcode模块简单使用

    函数式自动生成二维码 import qrcode img = qrcode.make("hello world!") img.get_image().show() img.save ...

  5. 关于程序设计中经常出现的INF和MOD值的设定

    摘自:https://www.cnblogs.com/gfvod/p/5548313.html 在取模操作中,我们常把MOD设置为1000000007,模一个大数和模一个质数可以减少冲突,而1e9+7 ...

  6. Quartz入门例子简介 从入门到菜鸟(一)

    转: Quartz入门例子简介 从入门到菜鸟(一) 2016年11月19日 22:58:24 爱种鱼的猫 阅读数:4039   刚接触quartz这个词并不是在学习过程中...而是WOW里面的界面插件 ...

  7. 洛谷 P4375 [USACO18OPEN]Out of Sorts G(树状数组求冒泡排序循环次数加强版)

    传送门:Problem 4375 参考资料: [1]:https://www.cnblogs.com/Miracevin/p/9662350.html [2]:https://blog.csdn.ne ...

  8. EOJ2018.10 月赛

    EOJ2018.10 月赛 题目一览表(Green color indicate understand and Accept) 来源 考察知识点 完成时间 A oxx 的小姐姐们 EOJ 数学+思维 ...

  9. SQL Server 2008 数据库回滚到某个时间点

    数据库回滚到时间的的前提: 事务日志完整,数据库在完整恢复模式下进行过一次完整备份,数据库没有进行过还原操作(惨痛教训). 当数据库误操作时,切记冷静,不然问题就是滚雪球, 在不做下一步错误前  可观 ...

  10. pymysql 在数据库中插入空值

    1. 先搞清 ''(空字符串)和 NULL的区别 (1)本质区别: 空字符串是个值 NULL 和Python中的NULL一样,是空值的意思 (2)查询语句的区别: SELECT * FROM test ...