在Linux中,每个进程都有一组权限限制其可访问和执行的资源。这些权限通过内核安全模型(如SELinux)实现,并包含基本UNIX权限(rwx),UID、GID和特殊权限。但是,这些基本权限并不足以精细控制进程所能访问的资源。在Linux 2.2中引入了Capability概念,为了增强进程可访问的资源的控制,Capability技术横空出世。
一、什么是Capability
Capability是一种格外授权机制,通过设置特定的Capability来精细控制进程所能访问的资源。同样,该机制可以将某些超级用户能力下放到非特权进程或二进制文件中,从而减少了系统对root的依赖,防止被黑客攻击。
每个Capability可以控制进程中的某种资源(如CAP_SYS_ADMIN控制文件系统操作),让用户细粒度地控制资源。同时,Capability能方便将某些特权操作,像访问某些硬件,变成普通用户所能访问的操作。
二、如何使用Capability
1. 常见的Capability操作
Capability的使用涉及一下常见的操作:
- 通过命令行临时设置某个Capability并启动进程:
$ sudo setcap cap_net_admin=eip /usr/bin/ping $ ping www.baidu.com
- 让二进制文件以某个Capability启动:
$ sudo setcap 'cap_net_admin=eip' /usr/bin/ping $ ./ping www.baidu.com
- 二进制文件作为服务运行,通过systemd单元设置Capability:
[Unit] Description=Ping server [Service] ExecStart=/path/to/ping-server AmbientCapabilities=CAP_NET_ADMIN [Install] WantedBy=multi-user.target
2. 如何查看当前进程的Capabilities
一个进程的Capability可以通过/proc/pid/status文件查看:
CapInh:\t00000000a80425fb
CapPrm:\t00000000a80425fb
CapEff:\t00000000a80425fb
CapBnd:\t00000000a80425fb
CapAmb:\t0000000000000000
上面的代码分别表示:
- CapInh:指定进程的Inheritable Capability集合(该进程从其父进程继承的)。
- CapPrm:指定进程的Permitted Capability集合(该进程能够获取的)。
- CapEff:指定进程的 Effective Capability 集合(该进程当前拥有的)。
- CapBnd:指定进程的Capability 境界集合(该进程不能超过的Capability)。
- CapAmb:指定进程的Ambient Capability集合(该进程在进程启动时拥有的Capability集合)。
3. 代码设置Capability
通过代码设置Capability也是可以的。在使用Capabilty时要添加头文件
#include <linux/capability.h>
int main(int argc, char *argv[]) {
//申请capability
cap_t caps = cap_from_text("CAP_NET_ADMIN+eip CAP_NET_RAW");
//设置capability
cap_set_proc(caps);
//打印capability
printf("Effective CAP: %d\n", cap_get_pid(getpid())->version);
//释放capablity资源
cap_free(caps);
}
三、常用Capability
下面列举了Linux下常用的Capability:
Capability | Description | 例子 |
---|---|---|
CAP_AUDIT_CONTROL | 启动和停止审计记录,更改审计过滤器和配置。 | auditd |
CAP_SYS_ADMIN | 最高权限,绕过所有内核安全机制,包括SELinux和AppArmor。 | mount, umount, pivot_root |
CAP_NET_ADMIN | 配置网络接口,修改主机名,使用raw sockets等 | ifconfig, route, ping |
CAP_IPC_LOCK | 能锁住(protect)部分进程的内存区域,防止进程内存被其他进程篡改。 | mlock |
CAP_SYS_PTRACE | PTRACE_ATTACH和PTRACE_KILL的权限,也即执行跟踪其他进程的权限 | strace, gdb |
四、总结
本文介绍了Linux下的Capability,它是Linux从基本权限概念上衍生出来的格外授权机制。它能为系统提供一个安全、轻便的授权机制,从而能让进程只是需要必要权限,而非具有root用户的所有权限。了解并掌握Capability是Linux安全管理的重要一部分。