capshの使用方法：最小限の機能で非特権pingを実行しようとしています

Question

Debian Gnu/Linuxで機能を実験しています。

/ bin/pingを現在の作業ディレクトリにコピーしました。期待どおりに機能しません。元々はsetuid rootでした。

次に、Sudo /sbin/setcap cap_net_raw=ep ./pingを実行して、pingに最小限の機能（ルートではない）を与えます。pingは期待どおりに機能します。

次に、Sudo /sbin/setcap -r ./pingを使用してその機能を取り消します。現在、期待どおりに動作していません。

capshを使用してpingを機能させるようにします。

capshには特権がないため、rootとして実行する必要がありますが、その後、rootをドロップして、他のすべての特権を削除します。

私はsecure-keep-capsも必要だと思います。これはcapshに記載されていませんが、機能マニュアルに記載されています。 /usr/include/linux/securebits.hからビット番号を取得しました。 --printの出力はこれらのビットが正しいことを示しているため、これらは正しいように見えます。

私は何時間もいじっていますが、今のところこれを持っています。

Sudo /sbin/capsh --keep=1 --secbits=0x10 --caps="cap_net_raw+epi" == --secbits=0x10 --user=${USER} --print -- -c "./ping localhost"

ただし、pingエラーはping: icmp open socket: Operation not permittedで発生しますが、これは、機能がない場合に発生します。また、--printはCurrent: =p cap_net_raw+iを示していますが、これではeが十分ではありません。

Sudo /sbin/capsh --caps="cap_net_raw+epi" --print -- -c "./ping localhost"は機能をCurrent: = cap_net_raw+eipに設定します。これは正しいですが、rootのままにします。

編集-1

Sudo /sbin/capsh --keep=1 --secbits=0x11 --caps=cap_net_raw+epi --print -- -c "touch zz; ./ping -c1 localhost;"を試しました

これにより以下が生成されます：

touch: cannot touch `zz': Permission denied ping: icmp open socket: Operation not permitted

最初のエラーはsecure-noroot: yesとして予期されますが、2番目のエラーはCurrent: = cap_net_raw+eipではありません

編集-2

==を--printの前に置くと、Current: = cap_net_raw+iが表示されるので、前のエラーが説明されますが、ルートから切り替えるときに機能が失われるのではなく、secure-keep-capsが修正するはずです。

編集-3

私が見ることができるものから、execが呼び出されると、Effective（e）とPermitted（p）が失われます。これは予想されることですが、secure-keep-capsはそれらが失われるのを止めるべきだと思いました。何かが足りませんか。

Edit-4

私はより多くの研究を行っており、マニュアルをもう一度読んでいます。通常、eおよびp機能は、ユーザーrootから切り替える（またはsecure-norootを適用して、rootを通常のユーザーにする）と失われます。これはsecure-keep-capsでオーバーライドできます。 execを呼び出すとき、私が知る限り、これは不変条件です。

私の知る限りでは、マニュアルに従って動作しています。私が知る限り、capshを使用して何か便利なことをする方法はありません。私の知る限り、機能を使用するには、ファイル機能を使用するか、execを使用しない機能認識プログラムを使用する必要があります。したがって、特権ラッパーはありません。

だから今私の質問は私が何を欠いているのか、何のためにcapshなのかです。

編集-5

アンビエント機能に関する回答を追加しました。多分capshは継承された機能で使用することもできますが、これらを実行するには、実行可能ファイルに設定する必要があります。 capshがアンビエント機能なしで、または継承された機能を許可するためにどのように役立つかを確認できません。

バージョン：

capshパッケージからlibcap2-binバージョン1:2.22-1.2
edit-3の前に、git://git.debian.org/collab-maint/libcap2.gitから最新のcapshを取得して使用し始めました。
uname -a Linux richard-laptop 3.2.0-4-AMD64 #1 SMP Debian 3.2.65-1+deb7u2 x86_64 GNU/Linuxユーザーランドは32ビットです。

ctrl-alt-delor · Accepted Answer

カーネルにバグ/機能がある可能性があります。いくつかの議論がありました：

https://bugzilla.altlinux.org/show_bug.cgi?id=16694
http://linux.derkeiler.com/Mailing-Lists/Kernel/2005-03/5224.html

~~何かが行われたとしても、それを修正することはできません。~~

誤解しないでください。現在の動作は安全です。しかし、それは非常に安全であるため、機能しているように見えるはずのものが邪魔になります。

編集： http://man7.org/linux/man-pages/man7/capabilities.7.html によると、新しい機能セットAmbientがあります（Linux 4.3以降）。これは必要なものを許可するように見えます。

Lekensteyn · Answer

機能はプロセスのプロパティです。従来、3つのセットがあります。

許可された機能（p）：現在のプロセスで「アクティブ化」できる機能。
有効な機能（e）：現在のプロセスで現在使用可能な機能。
継承可能な機能（i）：継承可能なファイル機能。

Rootとして実行されるプログラムは常に許可された効果的な機能をすべて備えているため、機能を「追加」しても目立った影響はありません。（通常、継承可能な機能セットは空です。）setcap cap_net_raw+ep pingを使用すると、このプログラムを実行するすべてのユーザーに対してこれらの機能をデフォルトで有効にします。

残念ながら、これらの機能は実行されたファイルにバインドされ、新しい子プロセスの実行後は保持されません。 Linux 4.3はアンビエント機能を導入しました。これにより、機能を子プロセスに継承できます（execve（）中の機能の変換 capabilities（7）も参照）。

機能を操作するときは、次の落とし穴に注意してください。

ユーザーをrootから非rootに変更すると、有効かつ許可された機能がクリアされます（ capabilities（7）のユーザーIDの変更による機能への影響を参照してください）。--keep=1オプションを使用できます。 capshのセットをクリアしないようにします。
ユーザーIDまたはグループIDを変更すると、環境機能セットがクリアされます。解決策：アンビエント機能を追加しますafterユーザーIDを変更しますが、before子プロセスを実行します。
機能は、許可された機能セットと継承可能な機能セットの両方に既に含まれている場合にのみ、環境機能セットに追加できます。

Libcap 2.26以降、capshプログラムは、--addamb _（commit ）などのオプションを介してアンビエント機能を変更する機能を獲得しました。オプションの順序は重要です。使用例：

Sudo capsh --caps="cap_net_raw+eip cap_setpcap,cap_setuid,cap_setgid+ep" \ --keep=1 --user=nobody --addamb=cap_net_raw -- \ -c "./ping -c1 127.0.0.1"

ヒント：capshコマンドラインの任意の場所に--printオプションを追加して、現在の機能の状態を確認できます。

注：cap_setpcapは--addambに必要ですが、cap_setuid,cap_setgidは--userオプションに必要です。

catanman · Answer

Lekensteynの答えは正確で完全なようですが、周囲の機能セットが解決する問題を強調するために、別の角度から別の説明を提供しようと思います。

Sudo capsh --user=<some_user> --を実行すると、機能が再計算（および削除される可能性）する2つの重要なシステムコールがあります。

setuid：man capabilitiesによると：

SECBIT_KEEP_CAPSこのフラグを設定すると、1つ以上の0 UIDを持つスレッドが、すべてのUIDをゼロ以外の値に切り替えたときに、その機能を保持できます。このフラグが設定されていない場合、そのようなUIDスイッチにより、スレッドはすべての機能を失います。

つまり、上記のcapshコマンドでは、setuidシステムコール中にSECBIT_KEEP_CAPSが設定されていることを確認する必要があります。そうしないと、すべての機能が失われます。これは--keep=1が行うことです。したがって、コマンドはSudo capsh --user=<some_user> --keep=1 --になります

execve：--keep=1オプションを使用すると、すべての機能セット（有効、許可、継承可能）が保持されますp until execveシステムコールですが、execveにより機能が再計算されます（非rootユーザー）も同様ですが、それほど明白ではありません。つまり、アンビエント機能セットの追加前は、execve呼び出しの後に機能がスレッドの「許可された」セットに含まれるようにするため、次のいずれかです。
- ファイルには、その「許可された」セットにその機能が必要です。これはsetcap cap_net_raw+p /bin/bashで実行できます。これを行うと、スレッドの機能セット（境界セット以外）が無効になるため、演習全体が役に立たなくなります。
- ファイルとスレッドの両方が、その「継承可能な」セットにその機能を持っている必要があります。 setcap cap_net_raw+iでうまくいくと思うかもしれませんが、execveによって、権限のないユーザー（現在、setuidのおかげです）から呼び出されたときに、スレッドの継承できない権限が削除されることがわかります。したがって、非特権ユーザーとしてこの条件を満たす方法はありません。

Linux 4.3で導入されたアンビエント機能により、権限のないユーザーがsetuidに続いてexecveを使用した後でもスレッドがその機能を保持できるようになりますファイル機能に依存する必要はありません。