授予用户在 btrfs 中创建快照的权限

Question

似乎没有任何合理的方法可以绕过这项检查。

我在源代码中找到了权限检查。它遵循inode_owner_or_capable。

if (!inode_owner_or_capable(idmap, src_inode)) {
    /*
     * Subvolume creation is not restricted, but snapshots
     * are limited to own subvolumes only
     */
    ret = -EPERM;
}

fs/btrfs/ioctl.c 中的 __btrfs_ioctl_snap_create

inode_owner_or_capable非常简单，只需检查当前用户是否与文件 UID 匹配或用户是否具有权限CAP_FOWNER。CAP_FOWNER非常强大，因此在这种情况下不是有用的绕过方法。

bool inode_owner_or_capable(struct mnt_idmap *idmap,
                const struct inode *inode)
{
    vfsuid_t vfsuid;
    struct user_namespace *ns;

    vfsuid = i_uid_into_vfsuid(idmap, inode);
    if (vfsuid_eq_kuid(vfsuid, current_fsuid()))
        return true;

    ns = current_user_ns();
    if (vfsuid_has_mapping(ns, vfsuid) && ns_capable(ns, CAP_FOWNER))
        return true;
    return false;
}

fs/inode.c 中的 inode_owner_or_capable

Answer 1

似乎没有任何合理的方法可以绕过这项检查。

我在源代码中找到了权限检查。它遵循inode_owner_or_capable。

if (!inode_owner_or_capable(idmap, src_inode)) {
    /*
     * Subvolume creation is not restricted, but snapshots
     * are limited to own subvolumes only
     */
    ret = -EPERM;
}

fs/btrfs/ioctl.c 中的 __btrfs_ioctl_snap_create

inode_owner_or_capable非常简单，只需检查当前用户是否与文件 UID 匹配或用户是否具有权限CAP_FOWNER。CAP_FOWNER非常强大，因此在这种情况下不是有用的绕过方法。

bool inode_owner_or_capable(struct mnt_idmap *idmap,
                const struct inode *inode)
{
    vfsuid_t vfsuid;
    struct user_namespace *ns;

    vfsuid = i_uid_into_vfsuid(idmap, inode);
    if (vfsuid_eq_kuid(vfsuid, current_fsuid()))
        return true;

    ns = current_user_ns();
    if (vfsuid_has_mapping(ns, vfsuid) && ns_capable(ns, CAP_FOWNER))
        return true;
    return false;
}

fs/inode.c 中的 inode_owner_or_capable

授予用户在 btrfs 中创建快照的权限

答案1

相关内容