POSIX 文件能力:分配根用户的能力
2008-11-12 08:30:08 来源:WEB开发网如果我们了解 icmp 的实现,这种技巧可以帮助我们判断问题,但是它确实没有把问题说清楚。
接下来,我们可以试着在 strace 之下运行这个程序(同样不设置 suid 位)。strace 会报告这个程序使用的所有系统调用及其返回值,所以可以通过查看 strace 输出中的返回值来判断缺少的权限。
strace -oping.out ping google.com
grep EPERM ping.out
socket(PF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)
我们缺少创建套接字类型 SOCK_RAW 的权限。查看 /usr/include/linux/capability.h,会看到:
/* Allow use of RAW sockets */
/* Allow use of PACKET sockets */
#define CAP_NET_RAW 13
显然,为了允许非特权用户使用 ping,需要的能力是 CAP_NET_RAW。但是,有些程序可能会试图执行它们并不真正需要的操作,-EPERM 会拒绝这些操作。判断它们真正需要的能力并不这么容易。
另一种更可行的方法是,在内核中检查能力的地方插入一个探测。这个探测输出关于被拒绝的能力的调试信息。
开发人员可以用 kprobes 编写小的内核模块,从而在函数的开头(jprobe)、函数的结尾(kretprobe)或在任何位置(kprobe)运行代码。可以利用这个功能收集信息,了解内核在运行某些程序时需要哪些能力。(本节的余下部分假设您的内核启用了 kprobes 和文件能力。)
清单 3 是一个内核模块,它插入一个 jprobe 来探测 cap_capable() 函数的开头。
清单 3. capable_probe.c
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/sched.h>
static const char *probed_func = "cap_capable";
int cr_capable (struct task_struct *tsk, int cap)
{
printk(KERN_NOTICE "%s: asking for capability %d for %sn",
__FUNCTION__, cap, tsk->comm);
jprobe_return();
return 0;
}
static struct jprobe jp = {
.entry = JPROBE_ENTRY(cr_capable)
};
static int __init kprobe_init(void)
{
int ret;
jp.kp.symbol_name = (char *)probed_func;
if ((ret = register_jprobe(&jp)) < 0) {
printk("%s: register_jprobe failed, returned %dn",
__FUNCTION__, ret);
return -1;
}
return 0;
}
static void __exit kprobe_exit(void)
{
unregister_jprobe(&jp);
printk("capable kprobes unregisteredn");
}
module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");
更多精彩
赞助商链接