您的位置:

深入理解Linux Capability

在Linux中,每个进程都有一组权限限制其可访问和执行的资源。这些权限通过内核安全模型(如SELinux)实现,并包含基本UNIX权限(rwx),UID、GID和特殊权限。但是,这些基本权限并不足以精细控制进程所能访问的资源。在Linux 2.2中引入了Capability概念,为了增强进程可访问的资源的控制,Capability技术横空出世。

一、什么是Capability

Capability是一种格外授权机制,通过设置特定的Capability来精细控制进程所能访问的资源。同样,该机制可以将某些超级用户能力下放到非特权进程或二进制文件中,从而减少了系统对root的依赖,防止被黑客攻击。

每个Capability可以控制进程中的某种资源(如CAP_SYS_ADMIN控制文件系统操作),让用户细粒度地控制资源。同时,Capability能方便将某些特权操作,像访问某些硬件,变成普通用户所能访问的操作。

二、如何使用Capability

1. 常见的Capability操作

Capability的使用涉及一下常见的操作:

  1. 通过命令行临时设置某个Capability并启动进程:
    $ sudo setcap cap_net_admin=eip /usr/bin/ping
    $ ping www.baidu.com
  2. 让二进制文件以某个Capability启动:
    $ sudo setcap 'cap_net_admin=eip' /usr/bin/ping
    $ ./ping www.baidu.com
  3. 二进制文件作为服务运行,通过systemd单元设置Capability:
    [Unit]
    Description=Ping server
    
    [Service]
    ExecStart=/path/to/ping-server
    AmbientCapabilities=CAP_NET_ADMIN
    
    [Install]
    WantedBy=multi-user.target

2. 如何查看当前进程的Capabilities

一个进程的Capability可以通过/proc/pid/status文件查看:

CapInh:\t00000000a80425fb
CapPrm:\t00000000a80425fb
CapEff:\t00000000a80425fb
CapBnd:\t00000000a80425fb
CapAmb:\t0000000000000000

上面的代码分别表示:

  • CapInh:指定进程的Inheritable Capability集合(该进程从其父进程继承的)。
  • CapPrm:指定进程的Permitted Capability集合(该进程能够获取的)。
  • CapEff:指定进程的 Effective Capability 集合(该进程当前拥有的)。
  • CapBnd:指定进程的Capability 境界集合(该进程不能超过的Capability)。
  • CapAmb:指定进程的Ambient Capability集合(该进程在进程启动时拥有的Capability集合)。

3. 代码设置Capability

通过代码设置Capability也是可以的。在使用Capabilty时要添加头文件

#include <linux/capability.h>

int main(int argc, char *argv[]) {
  //申请capability
  cap_t caps = cap_from_text("CAP_NET_ADMIN+eip CAP_NET_RAW");
  //设置capability
  cap_set_proc(caps);
  //打印capability
  printf("Effective CAP: %d\n", cap_get_pid(getpid())->version);
  //释放capablity资源
  cap_free(caps);
}

三、常用Capability

下面列举了Linux下常用的Capability:

Capability Description 例子
CAP_AUDIT_CONTROL 启动和停止审计记录,更改审计过滤器和配置。 auditd
CAP_SYS_ADMIN 最高权限,绕过所有内核安全机制,包括SELinux和AppArmor。 mount, umount, pivot_root
CAP_NET_ADMIN 配置网络接口,修改主机名,使用raw sockets等 ifconfig, route, ping
CAP_IPC_LOCK 能锁住(protect)部分进程的内存区域,防止进程内存被其他进程篡改。 mlock
CAP_SYS_PTRACE PTRACE_ATTACH和PTRACE_KILL的权限,也即执行跟踪其他进程的权限 strace, gdb

四、总结

本文介绍了Linux下的Capability,它是Linux从基本权限概念上衍生出来的格外授权机制。它能为系统提供一个安全、轻便的授权机制,从而能让进程只是需要必要权限,而非具有root用户的所有权限。了解并掌握Capability是Linux安全管理的重要一部分。