Linux下的Capabilities安全机制分析

Linux下的Capabilities安全机制分析

笪已墅型埋一——‘≤运画爱爹一——

Ｃａｐａｂｍｔｉｅｓ安全机制分析

解放军信息工程学院

巫晓明

郭玉东

摘要熟悉和掌握Ｌｍｕｘ操作系统所提供的安全机制．对于提高系统安全以及开发出高安全性的应用软件是非常关键的．

本文从内核源码角度分析了Ｌｍｕｘ下的ｃａｐａｂｌ｜＿ｔｉｅｓ的实现机制，同时分析了如何利用ｃａｐａｂ＿｜ｉｔ惜安全机制来提高系

统安全性．

关键词：Ｌ『ｎｕｘ

ｃａｐａｂｆ｜＿ｔｌｅｓ

安全机制文件访问权限

引言

Ｌ ｎｕｘ是典型的多用户操作系统．早期Ｌｌｎｕｘ中的访问控制机制主要是传统ｕＮＩｘ中的基于用户身份鉴别的自主访问控制ＤＡｃ（ＤＩｓｃｒｅＩｌｏｎａｒｙ

ＡｃｃｅｓｓｃｏｎｔｒｏＩ】．ｕＮｌ×将文件的访

身份．从而可以进行任伺特权操作。目前．置有ｓｅＩｕ，ｄ标志

的ｒｏｏｔ用户程序是Ｌ川ｘ最大的安全隐患，攻击者最常用的

攻击途径就是利用ｒ。ｏｔ用户的ｓｅ㈨ｄ程序存在的安全漏洞来获取ｒｏｏｔ身份．从而获得整个系统的控制权．

问者分为三类群体即文件属主（Ｄｗｎｅｒ）与文件属主同组的用户（ｇｒｏｕｐ）．以及其他用户（ｏｔｈｅｒ）．同时将对文件的操作分为读、写执行三种因此不同的访问者与不同的操作方式组成了不同文件访问权限．ＤＡｃ的主要思想是由文件属

ｓｅ㈨ｄ机制所带来的安全问题主要在于Ｌ川ｘ系统将权限

过分集中于ｒｏｏｔ用户为此．人们提出了种分割ｒｏｏｔ用户

权限的称为ｃａｐａｂ…ｔ啪的安全访问控制模型．

主来指定文件的访问权限．在Ｌ…ｘ中．文件ｎｏｄｅ节点中的

ｍｏｄ８域的第九位用来存储文件访问权限．

同样的．Ｌｍｕｘ在系统中设立了

个超级用户ｒｏｏｔ用于

系统管理．ｒｏｏｔ用户对系统具有一切特权操作．比如，可以访问系统中的任何文件．修改任何文件的文件访问权限、加载｛或卸载）系统模块等等．

对于普通用户的一些只有ｒｏｏｔ用户才能完成的操作需要（如用户修改口令时．就需要ｒｏｏｔ权限来读写系统的口令文

一．Ｃａｐ．ｂｉＩｉｔｉｅｓ安全模型介绍

ｃａｐａｂＩ㈨ｅｓ的主要思想在于分割ｒｏｏｔ用户的特权．即将ｒ００ｔ的特权分割成不同的ｃａｐａｂＩｌＩｔｙ（本文译为权能），每种权能代表一定的特权操作．例如．权能ｃＡＰ—ｓＹｓ—ＭｏＤｕＬＥ表示用户能够加载（或卸载）内核模块操作的特权操作．而ｃＡＰ—ｓＥＴｕＩＤ表示用户能够修改进程用户身份的特权操作．

在ｃ日ｐａｂ㈨嘲中系统将根据进程拥有的权能来进行特权操作

的访问控制．

在ｃａｐａｂｌ｜Ｉｔ｜ｅｓ中，只有进程和可执行文件才具有权能．每个进程拥有三组权能集．分别称为ｃ

ａｐ—ｅｆｆｅ

ｃｌｌ

ｖｅ

件）．Ｌ川×提供了一种称为ｓｅｔｕＩｄ的机制来解决．ｓｅｔｕｉｄ机

制即允许进程在运行过程中改变用户身份，从而可以获得不同的访问权限．Ｌ－ｎｕｘ中的进程因此拥有丰富的用户身份信息ｕｌｄ（真实用户号｝ｅｕｌｄ（有效用户号）．ｓｕＩｄ（保存用户号｝．ｆｓｕ－ｄ（文件系统用户号】，通过这些用户号进程可以方便灵活地对其用户身份做暂时改变或恢复等操作．进程改变用户身份有两种方式一种是给可执行文件置上某种标志Ｃ称为ｓｅ㈨ｄ标志）．进程执行这些文件时便拥有与文件属主

ｃａｐ—ｍｈｅ…ａｂｌｅ、ｃａｐ—ｐｅｒｍⅢｅｄ（分别简记为：ｐＥｐ．ｐＰ）．

其中．ｃａｐ—ｐｅｒｍｌｔｔｅｄ表示进程所能拥有的最大权能集．ｃａｐ—ｅｆｆｅｃｔｌｖｅ表示进程当前可用的权能集．而ｃａｐ—ｌｎｈｅⅢ曲Ｊｅ则表示进程可以传递给其子进程的权能集．系统根据进程的ｃ８ｐ—ｅｆｆｅｃｔｌｖｅ权能集来进行访问控制，ｃａｐ—ｅｆｆｅｃｔ＿ｖｅ为ｃａｐ—ｐｅｒｍｍｅｄ的子集．进程可以通过取消ｃａｐ—ｅｆｆｅｃｌｌｖｅ中的某些权能来放弃进程的一些特权。

可执行文件也拥有三组权能集．对应于进程的三组权能集，分别称为ｃａｐ—ｅｆｆｅｃｔｌ”．ｃａｐ—ａＩｌｏｗｅｄ和ｃ印一ｆｏｒｃｅｄ（分别简记为ｆＥ．玑伊）．其中．ｃａｐ—ａｌｆｏｗｅｄ表示程序运行时可从原进程的ｃａＰ—ｍｈｅｒｌｔａｂｌｅ中继承的权能集，ｃａｐｊｏｒｃｅｄ表示运行文件时必须拥有才能完成其服务的权能集ｃａｐ—ｅｆｆｅｃｔＩｖｅ则表示文件开始运行时可以使用的权能．

而

相同的有效用户身份．另一种是通过调用ＬⅢｘ提供的系统

调用ｓｅｔｕｌｄ（）

ｓｅｆｅｕｌｄ（）．ｓｅ仃ｅｕＩｄｆ】，ｓｅｔｒｅｓｕｌｄ（），ｓｅｔｆｓｕｉｄ

｛）等Ｉ统称为ｓｅｔⅧｄ（））来改变进程用户身份．

ｓｅｔｕＩｄ机制既解决了普通用户访问系统特殊资源的需要．同时又通过具体程序来限制用户的访问行为从而保证了这些系统资源的安全性．

但是．ｓｅｔｕ－ｄ机制在提供方便的同时也带来了安全问题．如普通用户在执行ｒｏｏｔ用户的ｓｅｌｕｒｄ程序时．便拥有了ｒｏｏｔ

１８计算机安全２０。３

万方数据　

Linux下的Capabilities安全机制分析

———＿互亟旷—Ｊ墅型幽

改变执行映象后的新进程的各权能集将由原进程的权能信息和可执行文件的权能信息来共同决定．这种决定关系可公式化为：

ＤＩ＝ＤＩ

ＤＰ

＝ｆＰ

（ｆ＆ｐ｜）

ＯＥ＝ＤＰ

＆ｆＥ

其中．ｏＤｐＥ．叫为新进程的权能信息．ＤＰ

ｐＥ

ｐｌ

为原进程的权能信息；而ｆＰｆｌ

ｆＥ则为可执行文件的权能

信息．

从公式可看出．可以通过配置可执行文件的权能集来指定进程的权能集．

＝．Ｌ．ｎｕｘ内核中ｃａｐａｂｉＩｉｔｉｅｓ的实现机制

Ｌ

ｎｕｘ内核从２２版本开始就加进了ｃ８ｐ８ｂ¨Ｉｔｅｓ的概念

与机制并随着版本升高逐步得到改进（本文以Ｌ州ｘ２４内核为分析对象）．但是．到目前为止Ｌ川ｘ还不支持可执行文

件的权能集因此还不能通过具体配置可执行文件的权能

集来配置进程的权能集系统只是简单地根据进程的用户身

份来默认进程的权能集．即赋予ｒｏｏｔ用户的进程权能的全集．而将清空普通用户进程的权能集．

１．相关的数据结构

（１）进程控制结构ｔａｓｋ—ｓｔｒｕｃｔ中与ｃａｐａｂ…ｔｉ ｓ相关的数据结构

ｓｔｒｕｃｔ

ｔａｓｋ—ｓｔｒｕｃｔ｛

ｋｅｒｎｅＩ—ｃａｐ—ｔ

ｃａｐ—ｅｆｆｅｃｔＩｖｅ．ｃａｐ—ＩｎｈｅｒＩｔ８ｂｌｅ

０ａｐ—ｐｅｒｍ『ｌｌｅｄ，

Ｉｎｔ

ｋｅｅｐ—ｃａｐａｂｉ｜Ｉｔｌｅｓ

１

｝

目前．ＬＩｎｕｘ定义了２９种权能．因此在进程控制结构

ｔａ

ＳＫ—ｓ”ｕｃｌ中用三个３２位的整数：ｃａｐ—ｅｆｆｅｃｔｆｖｅ，

ｃａｐ—Ｉｎｈｅｒ旧ｂｋ

ｃ８ｐ—ｐｅｒｍｌｔｆｅｄ来分别表示进程的三组权能

集，整数的每位代表种权能（高３位没有定义）．

在ｔａＳＫ—ｓｔｒｕｃｔ中还目进了～个控制位ｋｅｅｐ—ｃａｐａｂＩ｜：ｔｉｅｓ．用于控制进程的用户身份由ｒｏ。ｔ特权用户变为普通用户时是否保持其权能信息不变．ｋｅｅｐ—ｃａｐａｂＩ｜Ｉｔｉｅｓ的值可以通过系统调用ｐｒｃｆ【｛）来改变。

（２）ｃａｐ－ｂｓｅｔ权能边界集（ｃａｐａｂ；ｌｊｔｙ

ｂｏｕｎｄｉｎｇ

ｓｅｔ）

Ｌｍｕｘ使用一个全局变量ｃａｐ－ｂｓ叭．甩来限定系统中所有进程所能拥有的权能．将ｃ印－ｂｓｅｔ中的某权能位清０则系统所有进程不会再拥有此权能，ｃａｐ—ｂｓｅｔ的值只能在内核编译前改变．

（３）

３ｅｃｕｒｅｂｉｔｓ安全位

ｓｅｃｕｒｅ

ｂｌｔｓ为个３

２位的位图．目前只定义了

万　

方数据ｓＥｃｕＲＥ—ＮｏＲ００Ｔ和ｓＥｃｕＲＥ—Ｎ０一ｓＥＴｕ旧一ＦＩｘｕＰ两位．ｓＥｃｕＲＥ—ＮｏＲＯＯＴ位．用于控制是否将属主为ｒ。ｏｔ的可执行文件的各权能集调整为全集．而ｓＥｃｕＲＥ—ＮＯ—ｓＥＴｕＤ—Ｆｌ×ｕＰ位则用于控制进程改变了用户身份后是否对其权能集作相应的调整。ｓｅｃｕｒｅｂｔｓ的值也只能在内核编译前改变．

２、进程权能集的计算与调整

（１）㈨ｔ进程的具体赋值

州进程是系统启动后运行的第一个用户进程．它的各权能集和ｋｅｅｐ—ｃａｐａｂｌ【＿ｔｉｅｓ的值在宏定义㈨Ｔ—ＴＡｓＫ中具体赋值．具体值为：

ｃａｐ—ｅ什ｅｃｔＩｖｅ＝ｃａｐ—ｐｅｒｍＩｔｔｅｄ；ｃａｐ—ｂｓｅＩ．ｃａｐ—ｌｎｈｅｒｌｔａｂＩｅ＝０．

ｋｅｅｐ—ｃａｐａｂ…ｔｌｅｓ＝０

（２）进程调用ｆｏ咄（）、ｖｆｏｒｋ（）或ｃＩｏｎｅ（）等函数生成子进程时．子进程复制父进程的各权能集

（３）改变进程映象后的新进程各权能集的重新计算进程调用ｅｘｅｃｖｅ（）执行新程序映象后的权能信息将根据可执行文件的权能信息和进程原来的权能信息来共同计算，计算公式为

Ｄ

＝ＤＩ

ｐＰ

；（ｆＰ＆ｃａｐ—ｂｓｅｔ）Ｉ（ｆＩ＆ｐＪ）

ＤＥ‘＝ｐＰ’＆ｆＥ

其中，ｐＰ

ｐＥ

ｐＩ表示进程调用ｅｘｅｃｖｅ（）前的各权能

集ＤＰ、ｐＥ‘，∥表示调用ｅｘｅｃｖｅ（）成功后进程的各权能

集．伊、¨ｆＥ表示可执行文件的各权能集ｃａｐ』ｓｅ１为系统的权能边界集．

由于目前Ｌ川ｘ还不支持可执行文件的权能集，因此系统

将所有可执行文件的各权能集均默认为权能的空集，但是在ｓＥｃｕＲＥ—ＮＯＲ００Ｔ位的控制下系统可将ｒ００１用户进程执行的文件的各权能集调整全集．目前Ｌｍｕｘ必须ｒｏｏｔ用户进程所执行

的文件的权能集置为全集。因此．在Ｌ㈨ｘ内核中虽是根据进

程拥有的权能进行特权操作的访问控制．但由于可执行文件的杈能集的未实现，系统实际上仍然是按照用户身份进行特权操作的访问控制．因此．如果不能具体配置可执行文件的权能信息，并不能充分发挥ｃａｐａｂＩ¨ｔｅｓ卓越的安全性能。

（４）进程改变用户身份后各权能集的调整

进程改变用户身份后其各权能集是否进行调整将由

ｓ

ｅｃ

ｕ

ｒｅｂｌｔｓ中的ｓＥｃｕＲＥ—Ｎ０一ｓＥＴｕ｜Ｄ—ＦｌｘｕＰ位和

ｋｅｅｐ—ｃａｐ８ｂｉ｜ｉｔｅｓ来共同控制．由于在ＬＩｎｕｘ中还不能具体配置

可执行文件的权能集．因此将ｓｅｃｕｒｅｂｌｔｓ和ｋｅｅｐ—ｃａｐａｂｌＩ

ｔｅｓ

都设为Ｏ，即进程改变用户身份后其权能要作相应的调整．

具体的调整由内核函数ｃａｐ－ｅｍｕ胁ｅ—ｓｅｔ圳ｄ（）来完成调整

规则为：

１）如果将进程的ｅｕｌｄ从０调整为非０（ｒ００ｔ用户的用户号为Ｏ），则清空进程的ｃａｐ

ｅｆｆｅｃｔＩｖｅｊ

２００３

１１计算机安全１９

Linux下的Capabilities安全机制分析

技７Ｉｔ论坛 毫题

Ｌｉｎｕ×安金

２）如果进程由特权用户进程（进程的ｕｌ。洲ｄⅫｄ至

少有一个为ｏ）变为普通用户进程（进程的ｕ旧ｅｕ｜ａ都不为。）时

即取消进程的任伺特权：

３）如果进程的ｅ

ｃａｐ

ｕ

ｓｕ

由内核函数ｃ印ａｂｌｅＣ）来完成ｃ８ｐａｂ｜ｅ（Ｊ函数检测进程的有

ｄ

效权能集（ｃａｐ—ｅｆｆｅｃｔ岍）来确定进程是否拥有相应的权能。

对于又什访司请求系统主要检查进程的用户身份以及所请求的操作方式是否符合又件访问权限．文件访问请求权限的检查在Ｌｎｕ×内核中主要由函数ｖｋ—ｐｅｒ丌１瞰ｍ（）来完成。

ｖｈ—ｐｅｒｍｃＡＰ—ＤＡｃ

ｓｓ

洁空进程的ｃａｐ—ｅｆｒｅｃｌＩｖｅ和ｃ印ｐｅｒｍ…ｅａ

ｄ从非。调整为。

ｖｅ。

则将进程的

ｐｅｒｍｍｅｄ赋给进程的ｃａｐ—ｅｆｆｅｃｔ

ｏｎ（）忽略了对拥有ｃＡＰ—ＤＡｃ一０ＶＥＲＲＤ和

ｓＥＡＲＣＨ权能的进程的ＤＡｃ常规权限的检查。

而如果将进程的ｋｅｅｐ—ｃａｐａＤ…ｔ哦置为１时进程改变

用户身份后不进行权能集的调整．在这种情况下普通用户进程也可拥有权能即也可进行特权操作。

（５）进程各权能集的直接修改

Ｌｌｎｕｘ提供了谩置进程权能集的系统调用ｃａｐｓｅＩ（）进程可以调用ｃ８ｐｓｅＩ（）来直接修改除眦进程以外的任何进程的各权能寨。但只有拥有ｃＡＰ—ｓＥＴＰｃＡＰ权能的进程才有此特权操作而且修改后的新权能集必须为该进程ｃａｐ

集

ｐｅｒｍｍｅｄ的子

ＲＥＡＤ

总结

从上面的分析我们可以看到

由于还不能具体配置

ＬＩｎｕｘ下的可执行文件的权能集因此Ｌｎｕ×系统中的进程基木上进是分为拥有所有权能的超级用户进程和没有任何权能的普通用户进程，从某种程度上说．Ｌｎｕｘ实际上仍然是根据进程的用户身份来进行特权操作的访问控制。

不过．我们还是可以利用Ｌｎｕｘ对Ｃａｐ８Ｄ¨Ｉｅｓ安全模型

即进程不能调用ｃ３ｐｓｅｔ（）为自己增加新的权能。考验

到权能ｃＡＰ—ｓＥＴＰｃＡＰ的可能带来的安全威胁Ｌｍｕ×在权能边界集ｃａｐ＿Ｄｓｅｔ中屏蔽了ｃＡＰｓＥＴＰｃＡＰ权能。

的现有支持通过正确配置与权能相关的数据结构来提高

Ｌ

ｎｕｘ的安全性。比如从全局变量ｃ印ｂｓｅｔ中●蔽掉系统不

三、Ｌｉｎｕｘ中的访问控制

系统将对所有的文件访问请求或特权操作请求进行相应的权限检查．只有通过相应的的权限检查进程才能进行相应的访问或操作。

对于进程的特权操作请求系统将检查进程的权能信息来

常用的权能就可以保证这些权能所代表的特权操作小会被攻击者滥用．从而可性提高整’个系统的安全性．将系统需要的所有功能模块都编译进内核

ｃＡＰ

然后清除ｃａ

ｐ—ｂ

ｓ

ｅＩ中的

ｓＹｓ—ＭｏＤｕＬ［权能位就叫以禁止任何进程进行加载（或

卸载）内核模块的特权操作这样就可以杜绝些通过Ｌ川ｘ

的可加载内核模块机制来实现的内核木马。删除系统或进程中多余的权能对系统的安全性总是很有好处的。ｏ

决定是否允许进程进行相关操作。ｍｕｘ对进程的权能的检查

袋电子政务挺求与安全］》

出版日期：２００３—５—１译作者：陈兵

出版社：北京犬学出版社定价：人民币２３元

［内容提要］

本书主要围绕电子政务的开发技术和安全技术两方面进行展开．开发技术主要包括电子政务系统的硬件环境软件环境以及各种信息处理技术．电子政务的安全技术则探讨了安全防范技术．信息加解密技术和高可用性技术等内容．并给出电子政务的总体安全廨决方案和安全管理方案。

本书适合国家公务员。党校与行政学院师生。ＭＰＡ．ＭＢＡ公共管理及电子商务等相关专业高等院校师生使用也适合人事相关电子政务工作的管理人员、信息技术人员使用．

２０，ｆ算机安全２００３

万方数据　

Linux下的Capabilities安全机制分析

Linux下的Capabilities安全机制分析

作者：作者单位：刊名：英文刊名：年，卷(期)：被引用次数：

巫晓明， 郭玉东解放军信息工程学院

计算机安全

NETWORK & COMPUTER SECURITY2003，""(11)0次

本文链接：/Periodical_dzzwyjc200311008.aspx授权使用：浙江大学(wfzjdx)，授权号：d941da5f-896c-4c0d-9c19-9df100dd403c

下载时间：2010年9月14日

本文来源：https://www.bwwdw.com/article/5y61.html