WEB开发网
开发学院操作系统Linux/Unix POSIX 文件能力:分配根用户的能力 阅读

POSIX 文件能力:分配根用户的能力

 2008-11-12 08:30:08 来源:WEB开发网   
核心提示: 如果我们了解 icmp 的实现,这种技巧可以帮助我们判断问题,POSIX 文件能力:分配根用户的能力(6),但是它确实没有把问题说清楚, 接下来,(本节的余下部分假设您的内核启用了 kprobes 和文件能力,) 清单 3 是一个内核模块,我们可以试着在 strace 之下运行这个程序(同

如果我们了解 icmp 的实现,这种技巧可以帮助我们判断问题,但是它确实没有把问题说清楚。

接下来,我们可以试着在 strace 之下运行这个程序(同样不设置 suid 位)。strace 会报告这个程序使用的所有系统调用及其返回值,所以可以通过查看 strace 输出中的返回值来判断缺少的权限。

strace -oping.out ping google.com
grep EPERM ping.out
  socket(PF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)

我们缺少创建套接字类型 SOCK_RAW 的权限。查看 /usr/include/linux/capability.h,会看到:

/* Allow use of RAW sockets */
/* Allow use of PACKET sockets */
#define CAP_NET_RAW     13

显然,为了允许非特权用户使用 ping,需要的能力是 CAP_NET_RAW。但是,有些程序可能会试图执行它们并不真正需要的操作,-EPERM 会拒绝这些操作。判断它们真正需要的能力并不这么容易。

另一种更可行的方法是,在内核中检查能力的地方插入一个探测。这个探测输出关于被拒绝的能力的调试信息。

开发人员可以用 kprobes 编写小的内核模块,从而在函数的开头(jprobe)、函数的结尾(kretprobe)或在任何位置(kprobe)运行代码。可以利用这个功能收集信息,了解内核在运行某些程序时需要哪些能力。(本节的余下部分假设您的内核启用了 kprobes 和文件能力。)

清单 3 是一个内核模块,它插入一个 jprobe 来探测 cap_capable() 函数的开头。

清单 3. capable_probe.c

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/sched.h>
static const char *probed_func = "cap_capable";
int cr_capable (struct task_struct *tsk, int cap)
{
  printk(KERN_NOTICE "%s: asking for capability %d for %sn",
    __FUNCTION__, cap, tsk->comm);
  jprobe_return();
  return 0;
}
static struct jprobe jp = {
  .entry = JPROBE_ENTRY(cr_capable)
};
static int __init kprobe_init(void)
{
  int ret;
  jp.kp.symbol_name = (char *)probed_func;
  if ((ret = register_jprobe(&jp)) < 0) {
    printk("%s: register_jprobe failed, returned %dn",
      __FUNCTION__, ret);
    return -1;
  }
  return 0;
}
static void __exit kprobe_exit(void)
{
  unregister_jprobe(&jp);
  printk("capable kprobes unregisteredn");
}
module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:POSIX 文件 能力

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接