Linux 安全最佳实践：CAP_SETFCAP 与 sudoer 文件

Question

最佳实践是编写一个专用程序，CAP_SYS_NICE以您需要的方式授予目标二进制文件。

如果目标二进制文件必须具有某些文件名模式、所有权或其他属性，请在应用该功能之前检查专用程序的代码中的详细信息。一个简单的例子：

/* make_nice.c */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/capability.h>

#ifndef base
#define base "/only/allowed/base/directory/"
#endif

int main(int argc, char **argv) {
    static cap_value_t c_sys_nice = CAP_SYS_NICE;
    static cap_value_t c_setfcap = CAP_SETFCAP;

    if (argc != 2) {
        fprintf(stderr, "usage: make_nice <path>\n");
        exit(1);
    }
    if (strncmp(argv[1], base, sizeof(base)-1)) {
        fprintf(stderr, "<path> must have prefix: %s\n", base);
        exit(1);
    }
    if (strstr(argv[1], "/../") != NULL) {
        fprintf(stderr, "<path> must not contain /../\n");
        exit(1);
    }
    /* should probably confirm no symlinks in argv[1] too... */
    cap_t fc = cap_init();
    if (fc == NULL) {
        perror("no memory for cap_t");
        exit(1);
    }
    cap_t pc = cap_get_proc();
    if (pc == NULL) {
        perror("serious problem");
        exit(1);
    }
    cap_set_flag(pc, CAP_EFFECTIVE, 1, &c_setfcap, CAP_SET);
    if (cap_set_proc(pc)) {
        perror("failed to raise CAP_SETFCAP");
        exit(1);
    }
    cap_set_flag(fc, CAP_PERMITTED, 1, &c_sys_nice, CAP_SET);
    if (cap_set_file(argv[1], fc)) {
        perror("failed to set CAP_SYS_NICE");
        exit(1);
    }
    exit(0);
}

为了测试目的，像这样编译并运行它：

$ gcc -Dbase=\"$(pwd)/\" make_nice.c -o make_nice -lcap
$ sudo setcap cap_setfcap=p ./make_nice
$ touch test_target
$ ./make_nice $(pwd)/test_target
$ getcap -r .
./test_target cap_sys_nice=p
./make_nice cap_setfcap=p

最佳实践部分是：

代码make_nice有责任确保它仅将CAP_SYS_NICE功能应用于应该具有该功能的文件。
- 在某些情况下，您甚至可以编译二进制文件--static以避免glibc升级时出现任何意外...
您可以make_nice使用 ACL 来扩充二进制文件。例如，使程序团体可执行，但不是其他可执行 ( chmod o-rwx ./make_nice) 且仅允许该成员团体( sudo chgrp nicefolk ./make_nice) 来运行它。

Answer 1

最佳实践是编写一个专用程序，CAP_SYS_NICE以您需要的方式授予目标二进制文件。

如果目标二进制文件必须具有某些文件名模式、所有权或其他属性，请在应用该功能之前检查专用程序的代码中的详细信息。一个简单的例子：

/* make_nice.c */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/capability.h>

#ifndef base
#define base "/only/allowed/base/directory/"
#endif

int main(int argc, char **argv) {
    static cap_value_t c_sys_nice = CAP_SYS_NICE;
    static cap_value_t c_setfcap = CAP_SETFCAP;

    if (argc != 2) {
        fprintf(stderr, "usage: make_nice <path>\n");
        exit(1);
    }
    if (strncmp(argv[1], base, sizeof(base)-1)) {
        fprintf(stderr, "<path> must have prefix: %s\n", base);
        exit(1);
    }
    if (strstr(argv[1], "/../") != NULL) {
        fprintf(stderr, "<path> must not contain /../\n");
        exit(1);
    }
    /* should probably confirm no symlinks in argv[1] too... */
    cap_t fc = cap_init();
    if (fc == NULL) {
        perror("no memory for cap_t");
        exit(1);
    }
    cap_t pc = cap_get_proc();
    if (pc == NULL) {
        perror("serious problem");
        exit(1);
    }
    cap_set_flag(pc, CAP_EFFECTIVE, 1, &c_setfcap, CAP_SET);
    if (cap_set_proc(pc)) {
        perror("failed to raise CAP_SETFCAP");
        exit(1);
    }
    cap_set_flag(fc, CAP_PERMITTED, 1, &c_sys_nice, CAP_SET);
    if (cap_set_file(argv[1], fc)) {
        perror("failed to set CAP_SYS_NICE");
        exit(1);
    }
    exit(0);
}

为了测试目的，像这样编译并运行它：

$ gcc -Dbase=\"$(pwd)/\" make_nice.c -o make_nice -lcap
$ sudo setcap cap_setfcap=p ./make_nice
$ touch test_target
$ ./make_nice $(pwd)/test_target
$ getcap -r .
./test_target cap_sys_nice=p
./make_nice cap_setfcap=p

最佳实践部分是：

代码make_nice有责任确保它仅将CAP_SYS_NICE功能应用于应该具有该功能的文件。
- 在某些情况下，您甚至可以编译二进制文件--static以避免glibc升级时出现任何意外...
您可以make_nice使用 ACL 来扩充二进制文件。例如，使程序团体可执行，但不是其他可执行 ( chmod o-rwx ./make_nice) 且仅允许该成员团体( sudo chgrp nicefolk ./make_nice) 来运行它。

Linux 安全最佳实践：CAP_SETFCAP 与 sudoer 文件

答案1

相关内容