环境:
- 操作系统:中央操作系统8(通用/centos8 流浪汉盒子)
- 虚拟化:VMware-Workstation 16.1.0 build-17198959
重现步骤:
- 创建设备新策略
cd /sys/fs/cgroup/devices
mkdir custom_poc
- 验证哪个设备被用作 tty(多种方法):
使用 tty:
root@centos8# tty /dev/pts/0
获取进程STDIN:
ls -l /proc/$$/fd/{0,1,2} lrwx------. 1 root root 64 Mar 5 11:25 /proc/2446/fd/0 -> /dev/pts/0 lrwx------. 1 root root 64 Mar 5 11:25 /proc/2446/fd/1 -> /dev/pts/0 lrwx------. 1 root root 64 Mar 5 11:25 /proc/2446/fd/2 -> /dev/pts/0
- 将 tty 设备添加到
devices.deny
:
检查设备的主要和次要编号:
ls -l /dev/pts/0 crw--w----. 1 vagrant tty 136, 0 Mar 5 11:28 /dev/pts/0
拒绝访问:
root@centos8# echo 'c 136:0 w' > /sys/fs/cgroup/devices/custom_poc/devices.deny root@centos8# echo $$ > tasks root@centos8# echo 'a' > /dev/pts/0 -bash: /dev/pts/0: Operation not permitted
然而,即使在删除对 STDIN 设备的访问之后,我的 Bash 终端也能正常工作。这是一个简单的 whoami 的输出:
root@centos8# whoami root
答案1
从内核文档:
实施 cgroup 来跟踪和执行打开和 mknod 对设备文件的限制。
这些限制仅适用于开幕设备文件。这与大多数其他访问控制权限(例如标准 Unix 权限)相同。
以读+写模式打开文件后,您可以对其进行读取和写入。访问控制不会应用于每个read()
和write()
,这会增加太多开销,并且可能会导致应用程序中非常令人惊讶的行为。mmap
例如,当文件在内存中被 ped() 时,也很难强制执行。
在您的情况下,在应用限制之前,/dev/pts/0
已打开(可能是由其父级之一,可能是终端仿真器,也许getty
,也许sshd
......,并且 shell 继承了文件描述符)。
类似地,在 fork 一个进程来执行时whoami
,子进程会继承 fd,并且这些 fd 在执行时会被保留whoami
,并且whoami
只执行 a 而write(1, "root\n", 5)
无需打开设备文件。
然而echo a > /dev/pts/0
,shell 确实尝试打开文件来执行该重定向,但此时被阻止这样做。