编辑-1

Question 1

能力是流程的属性。传统上有三组：

允许的能力（p)：可以在当前进程中“激活”的功能。
有效能力（e)：当前进程中当前可用的能力。
可遗传的能力（我)：可以继承的文件能力。

以 root 身份运行的程序始终具有完全允许且有效的功能，因此“添加”更多功能不会产生明显的效果。（可继承的功能集通常为空。）setcap cap_net_raw+ep ping默认情况下，您将为运行此程序的任何用户启用这些功能。

不幸的是，这些功能绑定到执行的文件，并且在执行新的子进程后不会保留。 Linux 4.3 推出环境能力它允许子进程继承功能。（也可以看看execve() 期间功能的转换在能力(7).)

在使用功能时，请注意以下陷阱：

当将用户从 root 更改为非 root 时，有效和允许的权限将被清除（请参见用户 ID 更改对功能的影响在能力(7)）。您可以使用--keep=1选项来capsh避免清除集合。
更改用户或组 ID 时，环境功能集将被清除。解决方案：添加环境功能后更改用户ID，但是前执行子进程。
仅当某个功能已同时位于允许的功能集和可继承的功能集中时，才能将其添加到环境功能集中。

从 libcap 2.26 开始，capsh程序获得了通过以下选项修改环境功能的能力--addamb：犯罪）。请注意，选项顺序很重要。用法示例：

sudo capsh --caps="cap_net_raw+eip cap_setpcap,cap_setuid,cap_setgid+ep" \
    --keep=1 --user=nobody --addamb=cap_net_raw -- \
    -c "./ping -c1 127.0.0.1"

提示：您可以--print在命令行中的任意位置添加该选项capsh并查看其当前的功能状态。

注意：cap_setpcap是必需的，--addamb而选项cap_setuid,cap_setgid则需要--user。

Answer

能力是流程的属性。传统上有三组：

允许的能力（p)：可以在当前进程中“激活”的功能。
有效能力（e)：当前进程中当前可用的能力。
可遗传的能力（我)：可以继承的文件能力。

以 root 身份运行的程序始终具有完全允许且有效的功能，因此“添加”更多功能不会产生明显的效果。（可继承的功能集通常为空。）setcap cap_net_raw+ep ping默认情况下，您将为运行此程序的任何用户启用这些功能。

不幸的是，这些功能绑定到执行的文件，并且在执行新的子进程后不会保留。 Linux 4.3 推出环境能力它允许子进程继承功能。（也可以看看execve() 期间功能的转换在能力(7).)

在使用功能时，请注意以下陷阱：

当将用户从 root 更改为非 root 时，有效和允许的权限将被清除（请参见用户 ID 更改对功能的影响在能力(7)）。您可以使用--keep=1选项来capsh避免清除集合。
更改用户或组 ID 时，环境功能集将被清除。解决方案：添加环境功能后更改用户ID，但是前执行子进程。
仅当某个功能已同时位于允许的功能集和可继承的功能集中时，才能将其添加到环境功能集中。

从 libcap 2.26 开始，capsh程序获得了通过以下选项修改环境功能的能力--addamb：犯罪）。请注意，选项顺序很重要。用法示例：

sudo capsh --caps="cap_net_raw+eip cap_setpcap,cap_setuid,cap_setgid+ep" \
    --keep=1 --user=nobody --addamb=cap_net_raw -- \
    -c "./ping -c1 127.0.0.1"

提示：您可以--print在命令行中的任意位置添加该选项capsh并查看其当前的功能状态。

注意：cap_setpcap是必需的，--addamb而选项cap_setuid,cap_setgid则需要--user。

Question 2

Lekensteyn 的答案似乎准确且完整，但我将尝试从不同的角度提供另一种解释，试图强调环境功能集解决的问题。

当您运行时，sudo capsh --user=<some_user> --有 2 个系统调用会导致重新计算（并可能删除）功能：

setuid：根据man capabilities：

SECBIT_KEEP_CAPS 设置此标志允许具有一个或多个 0 UID 的线程在将其所有 UID 切换为非零值时保留其功能。如果未设置此标志，则此类 UIDswitch 会导致线程失去所有功能。

换句话说，在capsh上面的命令中，我们需要确保在setuid系统调用期间设置了 SECBIT_KEEP_CAPS。否则所有能力都会丧失。这就是它--keep=1所做的。所以现在命令变成sudo capsh --user=<some_user> --keep=1 --

execve：如果我们使用该--keep=1选项，则保留所有功能集（有效、允许、可继承）直到......为止但是，该execve系统调用execve也会导致重新计算权限（对于非 root 用户），而且方式不太明显。简而言之，在添加环境功能集之前，对于调用后线程“允许”集中的功能execve，可以：
- 该文件必须在其“允许”集中具有该功能。这可以通过来完成setcap cap_net_raw+p /bin/bash。这样做会使整个练习变得毫无用处，因为线程的功能集（除了边界集之外）不再有任何效果。
- 文件和线程都必须在其“可继承”集中具有该功能。您可能认为这setcap cap_net_raw+i可以解决问题，但事实证明，execve当非特权用户调用时，这会导致线程的固有权限被删除（我们目前要感谢这一点setuid）。所以作为非特权用户没有办法满足这个条件。

Linux 4.3 中引入的环境功能使得线程即使在 asetuid给非特权用户后跟一个, 也能保留其功能execve。无需依赖文件功能。

Answer

Lekensteyn 的答案似乎准确且完整，但我将尝试从不同的角度提供另一种解释，试图强调环境功能集解决的问题。

当您运行时，sudo capsh --user=<some_user> --有 2 个系统调用会导致重新计算（并可能删除）功能：

setuid：根据man capabilities：

SECBIT_KEEP_CAPS 设置此标志允许具有一个或多个 0 UID 的线程在将其所有 UID 切换为非零值时保留其功能。如果未设置此标志，则此类 UIDswitch 会导致线程失去所有功能。

换句话说，在capsh上面的命令中，我们需要确保在setuid系统调用期间设置了 SECBIT_KEEP_CAPS。否则所有能力都会丧失。这就是它--keep=1所做的。所以现在命令变成sudo capsh --user=<some_user> --keep=1 --

execve：如果我们使用该--keep=1选项，则保留所有功能集（有效、允许、可继承）直到......为止但是，该execve系统调用execve也会导致重新计算权限（对于非 root 用户），而且方式不太明显。简而言之，在添加环境功能集之前，对于调用后线程“允许”集中的功能execve，可以：
- 该文件必须在其“允许”集中具有该功能。这可以通过来完成setcap cap_net_raw+p /bin/bash。这样做会使整个练习变得毫无用处，因为线程的功能集（除了边界集之外）不再有任何效果。
- 文件和线程都必须在其“可继承”集中具有该功能。您可能认为这setcap cap_net_raw+i可以解决问题，但事实证明，execve当非特权用户调用时，这会导致线程的固有权限被删除（我们目前要感谢这一点setuid）。所以作为非特权用户没有办法满足这个条件。

Linux 4.3 中引入的环境功能使得线程即使在 asetuid给非特权用户后跟一个, 也能保留其功能execve。无需依赖文件功能。

Question 3

对 Lekensteyn 的答案进行轻微调整，可以缩短最近内核的调用时间：

sudo /usr/sbin/capsh --keep=1 --user=$USER \
  --inh=cap_net_raw --addamb=cap_net_raw -- \
  -c './ping -c1 localhost'

注意：根据您的 sudoers 文件，这可能会使您的环境变得混乱（例如更改 HOME）。 capsh 会更改您的 uid，但不会执行任何操作来恢复 sudo 的环境更改。

那么这是怎么回事呢？我们来看一下：

sudo /usr/sbin/capsh：我们从 root 开始，它在其有效（可以执行此操作）和允许（可以将其添加到有效）集中具有所有功能，但在其他集中没有任何功能。我们稍后将讨论其他集合。
--keep=1：出于安全（读取：遗留）原因，功能通常不会跨根->非根 ID 交换机继承。该标志启用了一项称为的功能SECBIT_KEEP_CAPS，可以实现此目的。值得注意的是，它会在 exec 时自动清除，这是一个好主意。
--user=$USER：既然我们不会失去 UID 更改的所有功能，我们就退出 root 状态。感谢SECBIT_KEEP_CAPS，我们保留了类似 root 的权限，这让我们进一步混乱了我们的能力。
--inh=cap_net_raw：这会将我们的目标功能添加到可继承集中，因为如果功能不可继承，则无法将其设置为环境功能（请参阅下一项）。
--addamb=cap_net_raw：即使我们已经请求SECBIT_KEEP_CAPS，execve非特权（无 setuid/setgid/setcap）二进制文件也会仍然明确我们的能力，导致没有特权。 Linux 4.3 添加了环境集，在执行非特权二进制文件时，该环境集会添加回有效集和允许集。完美的！
-- -c ...：设置完所有内容后，我们使用这些参数执行 bash。功能集被清除（因为 bash 没有特权），环境集被添加回来，瞧！我们拥有打开原始套接字所需的权限。

您可以使用 capsh 的特殊==参数来检查这一点，这会导致它使用命令行的其余部分执行自身：

sudo /usr/sbin/capsh --keep=1 --user=$USER \
  --inh=cap_net_raw --addamb=cap_net_raw == --print

Current: = cap_net_raw+eip

这意味着我们将 cap_net_raw 视为有效（可以执行）、可继承（可以将其传递给子进程）和允许（允许获取）。其中没有任何其他功能。

有关功能及其工作方式的更多信息，您最好的选择是功能(7) 手册页。具体是标题Transformation of capabilities during execve()。

Answer

对 Lekensteyn 的答案进行轻微调整，可以缩短最近内核的调用时间：

sudo /usr/sbin/capsh --keep=1 --user=$USER \
  --inh=cap_net_raw --addamb=cap_net_raw -- \
  -c './ping -c1 localhost'

注意：根据您的 sudoers 文件，这可能会使您的环境变得混乱（例如更改 HOME）。 capsh 会更改您的 uid，但不会执行任何操作来恢复 sudo 的环境更改。

那么这是怎么回事呢？我们来看一下：

sudo /usr/sbin/capsh：我们从 root 开始，它在其有效（可以执行此操作）和允许（可以将其添加到有效）集中具有所有功能，但在其他集中没有任何功能。我们稍后将讨论其他集合。
--keep=1：出于安全（读取：遗留）原因，功能通常不会跨根->非根 ID 交换机继承。该标志启用了一项称为的功能SECBIT_KEEP_CAPS，可以实现此目的。值得注意的是，它会在 exec 时自动清除，这是一个好主意。
--user=$USER：既然我们不会失去 UID 更改的所有功能，我们就退出 root 状态。感谢SECBIT_KEEP_CAPS，我们保留了类似 root 的权限，这让我们进一步混乱了我们的能力。
--inh=cap_net_raw：这会将我们的目标功能添加到可继承集中，因为如果功能不可继承，则无法将其设置为环境功能（请参阅下一项）。
--addamb=cap_net_raw：即使我们已经请求SECBIT_KEEP_CAPS，execve非特权（无 setuid/setgid/setcap）二进制文件也会仍然明确我们的能力，导致没有特权。 Linux 4.3 添加了环境集，在执行非特权二进制文件时，该环境集会添加回有效集和允许集。完美的！
-- -c ...：设置完所有内容后，我们使用这些参数执行 bash。功能集被清除（因为 bash 没有特权），环境集被添加回来，瞧！我们拥有打开原始套接字所需的权限。

您可以使用 capsh 的特殊==参数来检查这一点，这会导致它使用命令行的其余部分执行自身：

sudo /usr/sbin/capsh --keep=1 --user=$USER \
  --inh=cap_net_raw --addamb=cap_net_raw == --print

Current: = cap_net_raw+eip

这意味着我们将 cap_net_raw 视为有效（可以执行）、可继承（可以将其传递给子进程）和允许（允许获取）。其中没有任何其他功能。

有关功能及其工作方式的更多信息，您最好的选择是功能(7) 手册页。具体是标题Transformation of capabilities during execve()。

Question 4

该setpriv命令比 .com 更容易处理行为capsh。考虑使用它来代替您问题的运行时功能部分。对零件没有太大影响setcap。

$ setpriv --help

Usage:
 setpriv [options] <program> [<argument>...]

Run a program with different privilege settings.

现在，ping作为 Fedora 32 上的非特权用户，我可以正常工作：

$ cp /usr/bin/ping .
$ ./ping -c 1 ::1
PING ::1(::1) 56 data bytes
64 bytes from ::1: icmp_seq=1 ttl=64 time=0.030 ms

所以我选择了tcptraceroute：

$ tcptraceroute ::1
Running:
    traceroute -T -O info ::1 
You do not have enough privileges to use this traceroute method.
socket: Operation not permitted

与

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' tcptraceroute ::1
Running:
    traceroute -T -O info ::1 
traceroute to ::1 (::1), 30 hops max, 80 byte packets
 1  localhost (::1) <rst,ack>  0.041 ms  0.010 ms  0.007 ms

请注意，该命令没有广泛提升的权限：

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' touch /root/secret
touch: cannot touch '/root/secret': Permission denied

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' sudo touch /root/secret
sudo: PERM_SUDOERS: setresuid(-1, 1, -1): Operation not permitted
sudo: no valid sudoers sources found, quitting
sudo: error initializing audit plugin sudoers_audit

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

Answer

该setpriv命令比 .com 更容易处理行为capsh。考虑使用它来代替您问题的运行时功能部分。对零件没有太大影响setcap。

$ setpriv --help

Usage:
 setpriv [options] <program> [<argument>...]

Run a program with different privilege settings.

现在，ping作为 Fedora 32 上的非特权用户，我可以正常工作：

$ cp /usr/bin/ping .
$ ./ping -c 1 ::1
PING ::1(::1) 56 data bytes
64 bytes from ::1: icmp_seq=1 ttl=64 time=0.030 ms

所以我选择了tcptraceroute：

$ tcptraceroute ::1
Running:
    traceroute -T -O info ::1 
You do not have enough privileges to use this traceroute method.
socket: Operation not permitted

与

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' tcptraceroute ::1
Running:
    traceroute -T -O info ::1 
traceroute to ::1 (::1), 30 hops max, 80 byte packets
 1  localhost (::1) <rst,ack>  0.041 ms  0.010 ms  0.007 ms

请注意，该命令没有广泛提升的权限：

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' touch /root/secret
touch: cannot touch '/root/secret': Permission denied

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' sudo touch /root/secret
sudo: PERM_SUDOERS: setresuid(-1, 1, -1): Operation not permitted
sudo: no valid sudoers sources found, quitting
sudo: error initializing audit plugin sudoers_audit

$ sudo setpriv --no-new-privs  --inh-caps '-all,+net_raw' --bounding-set '-all,+net_raw' id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

编辑-1

编辑-1

编辑2

编辑3

编辑4

编辑5

答案1

答案2

答案3

答案4

相关内容