Provided by: manpages-pl_4.23.1-1_all 
NAZWA
capabilities - przegląd przywilejów linuksowych
OPIS
Ze względu na sprawdzanie uprawnień, tradycyjna uniksowa implementacja rozróżnia dwie
kategorie procesów: procesy uprzywilejowane (których efektywny identyfikator użytkownika
wynosi 0, zwane superużytkownikiem lub rootem, rzadziej administratorem), oraz procesy
nieuprzywilejowane (z niezerowym efektywnym ID użytkownika). Procesy uprzywilejowane mogą
pominąć wszelką kontrolę uprawnień jądra, natomiast procesy nieuprzywilejowane są
przedmiotem pełnej kontroli uprawnień w oparciu o referencje procesu (zwykle: efektywne
identyfikatory użytkownika oraz grupy, oraz uzupełniającą listę grup).
Począwszy od Linuksa 2.2, Linux dzieli uprawnienia tradycyjnie właściwe superużytkownikowi
na odrębne jednostki, zwane przywilejami (ang. capabilities), które można niezależnie
włączać i wyłączać. Przywileje są atrybutem przypisanym wątkowi.
Lista przywilejów
Poniżej przedstawiono listę ukazującą przywileje zaimplementowane w Linuksie oraz operacje
lub zachowania, na które pozwala każdy z przywilejów:
CAP_AUDIT_CONTROL (od Linuksa 2.6.11)
Włączanie i wyłączanie audytu jądra; zmiana reguł filtrowania audytu; pobieranie
statusu audytu i reguł filtrowania.
CAP_AUDIT_READ (od Linuksa 3.16)
Zezwala na odczyt dziennika audytu za pomocą gniazda multicastowego netlink.
CAP_AUDIT_WRITE (od Linuksa 2.6.11)
Zapisywanie rekordu do dziennika audytu jądra
CAP_BLOCK_SUSPEND (od Linuksa 3.5)
Włączanie funkcji zdolnych powstrzymać wstrzymanie systemu (EPOLLWAKEUP epoll(7),
/proc/sys/wake_lock).
CAP_BPF (od Linuksa 5.8)
Wykorzystywanie uprzywilejowanych operacji BPF (filtrowania pakietów Berkeley -
przyp. tłum.), zob. bpf(2) i bpf-helpers(7).
Ten przywilej dodano w Linuksie 5.8, aby wydzielić funkcjonalność BPF z
przeładowanego przywileju CAP_SYS_ADMIN.
CAP_CHECKPOINT_RESTORE (od Linuksa 5.9)
• Aktualizowanie /proc/sys/kernel/ns_last_pid (zob. pid_namespaces(7));
• wykorzystywanie funkcji set_tid clone3(2);
• odczytywanie zawartości dowiązań symbolicznych /proc/pid/map_files w przypadku
innych procesów.
Ten przywilej dodano w Linuksie 5.9, aby wydzielić funkcjonalność punktów
kontrolnych/przywracania z przeładowanego przywileju CAP_SYS_ADMIN.
CAP_CHOWN
Czynienie dowolnych zmian w stosunku do identyfikatorów użytkownika i grupy (zob.
chown(2)).
CAP_DAC_OVERRIDE
Pomijanie sprawdzeń uprawnień odczytu, zapisu i wykonania. (DAC jest skrótem od
ang. „discretionary access control” - tj. uznaniowa kontrola dostępu.)
CAP_DAC_READ_SEARCH
• Pomijanie sprawdzenia uprawnień odczytu pliku oraz sprawdzenia uprawnień odczytu
i wykonania (a właściwie przeszukania - przyp. tłum.) katalogu;
• wywoływanie open_by_handle_at(2);
• używanie znacznika AT_EMPTY_PATH linkat(2) do utworzenia linku do pliku
opisanego deskryptorem pliku.
CAP_FOWNER
• Pomijanie sprawdzenia uprawnień w przypadku operacji wymagających zwykle, aby
identyfikator użytkownika procesu pasował do identyfikatora użytkownika pliku
(np. chmod(2), utime(2)), z wyłączeniem operacji objętych przywilejami
CAP_DAC_OVERRIDE i CAP_DAC_READ_SEARCH;
• ustawianie znaczników i-węzłów (zob. ioctl_iflags(2)) dla dowolnych plików;
• ustawianie list kontroli dostępu do plików (ang. Access Control Lists - ACL) dla
dowolnych plików;
• ignorowanie bitu lepkości katalogu przy usuwaniu pliku;
• modyfikowanie atrybutów rozszerzonych użytkownika w przypadku katalogu z bitem
lepkości, będącego własnością dowolnego użytkownika;
• określanie O_NOATIME do dowolnych plików w open(2) i fcntl(2).
CAP_FSETID
• Brak czyszczenia bitów: ustawiania ID użytkownika lub ID grupy podczas wykonania
(suid/sgid), w momencie modyfikowania pliku;
• ustawianie bitu ustawiania ID grupy podczas wykonania (sgid) w przypadku plików,
dla których identyfikator grupy nie pasuje do systemu plików lub do
jakiegokolwiek z dodatkowych identyfikatorów grupy procesu wywołującego.
CAP_IPC_LOCK
• Blokowanie pamięci (mlock(2), mlockall(2), mmap(2), shmctl(2));
• Przydzielanie pamięci za pomocą dużych (ang. huge) stron (memfd_create(2),
mmap(2), shmctl(2)).
CAP_IPC_OWNER
Pomijanie sprawdzania uprawnień w przypadku operacji na obiektach IPC Systemu V
CAP_KILL
Pominięcie sprawdzenia uprawnień przy wysyłaniu sygnałów (zob. kill(2)). Obejmuje
to operację KDSIGACCEPT ioctl(2).
CAP_LEASE (od Linuksa 2.4)
Dokonywanie dzierżaw na dowolnych plikach (zob. fcntl(2)).
CAP_LINUX_IMMUTABLE
Ustawianie znaczników i-węzłów FS_APPEND_FL i FS_IMMUTABLE_FL (zob.
ioctl_iflags(2)).
CAP_MAC_ADMIN (od Linuksa 2.6.25)
Zezwala na zmianę statusu lub konfiguracji MAC. Zaimplementowane do modułu Smack
Linux Security Module (LSM).
CAP_MAC_OVERRIDE (od Linuksa 2.6.25)
Przesłanianie obowiązkowej kontroli dostępu (ang. Mandatory Access Control - MAC).
Zaimplementowane do modułu Smack LSM.
CAP_MKNOD (od Linuksa 2.4)
Tworzenie plików specjalnych za pomocą mknod(2).
CAP_NET_ADMIN
Przeprowadzanie wielu operacji związanych z siecią:
• konfigurowanie interfejsu;
• administrowanie zaporą sieciową IP, maskaradowaniem oraz rozliczeniami;
• modyfikowanie tabel trasowania
• przypisywanie do dowolnego adresu w celu uzyskania przezroczystego proxy
• ustawianie typu usługi (ang. type-of-service - TOS);
• czyszczenie statystyk sterownika
• ustawianie trybu nasłuchiwania;
• włączanie multicastingu;
• używanie setsockopt(2) do ustawiania następujących opcji gniazd: SO_DEBUG,
SO_MARK, SO_PRIORITY (na priorytet spoza zakresu od 0 do 6), SO_RCVBUFFORCE i
SO_SNDBUFFORCE.
CAP_NET_BIND_SERVICE
Kojarzenie gniazda z portami z uprzywilejowanej domeny internetowej (porty o
numerach poniżej 1024).
CAP_NET_BROADCAST
(Nieużywane) Tworzenie gniazd rozgłoszeniowych oraz nasłuchiwanie multicastu.
CAP_NET_RAW
• Używanie gniazd RAW i PACKET
• przypisywanie do dowolnego adresu w celu uzyskania przezroczystego proxy.
CAP_PERFMON (od Linuksa 5.8)
Używanie wielu mechanizmów monitorowania wydajności, w tym:
• wywoływanie perf_event_open(2);
• wykonywanie wielu operacji BPF (filtrowania pakietów Berkeley - przyp. tłum.),
które wpływają na wydajność.
Ten przywilej dodano w Linuksie 5.8, aby wydzielić funkcjonalność monitorowania z
przeładowanego przywileju CAP_SYS_ADMIN. Więcej szczegółów w pliku źródeł jądra
Documentation/admin-guide/perf-security.rst.
CAP_SETGID
• Czynienie dowolnych zmian wobec identyfikatora grupy procesu oraz listy
uzupełniających identyfikatorów grup;
• fałszowanie identyfikatora grupy przy przekazywaniu referencji gniazd za pomocą
gniazd domeny uniksowej;
• zapisywanie przypisania identyfikatora grupy w przestrzeni nazw użytkownika
(zob. user_namespaces(7)).
CAP_SETFCAP (od Linuksa 2.6.24)
Ustawianie dowolnych przywilejów na pliku.
Od Linuksa 5.12 przywilej ten jest konieczny do przypisania identyfikatora
użytkownika 0 w nowej przestrzeni nazw; więcej szczegółów w podręczniku
user_namespaces(7).
CAP_SETPCAP
Jeśli obsługiwane są przywileje pliku (tj. od Linuksa 2.6.24): dodawanie dowolnych
przywilejów ze zbioru ograniczonego wywołującego wątku do jego zbioru
dziedzicznego; porzucanie przywilejów ze zbioru ograniczonego (za pomocą
PR_CAPBSET_DROP prctl(2)); dokonywanie zmian w znacznikach securebits.
Jeśli przywileje pliku nie są obsługiwane (tj. przed Linuksem 2.6.24): przyznawanie
lub usuwanie dowolnych przywilejów w zbiorze przywilejów dozwolonych wywołującego
lub z dowolnych innych procesów (ta własność CAP_SETPCAP jest niedostępna gdy jądro
skonfigurowano w celu obsługi przywilejów pliku, ponieważ CAP_SETPCAP ma dla takich
jąder zupełnie odmienną semantykę).
CAP_SETUID
• Czynienie dowolnych zmian wobec identyfikatorów użytkownika procesów (setuid(2),
setreuid(2), setresuid(2), setfsuid(2));
• fałszowanie identyfikatora użytkownika przy przekazywaniu referencji gniazd za
pomocą gniazd domeny uniksowej;
• zapisywanie przypisania identyfikatora użytkownika w przestrzeni nazw
użytkownika (zob. user_namespaces(7)).
CAP_SYS_ADMIN
Uwaga: niniejszy przywilej jest przeładowany, zob. Uwagi do deweloperów jądra
poniżej.
• Wykonywanie wielu operacji z zakresu administracji systemem, w tym: quotactl(2),
mount(2), umount(2), pivot_root(2), swapon(2), swapoff(2), sethostname(2) i
setdomainname(2);
• wykonywanie uprzywilejowanych operacji syslog(2) (od Linuksa 2.6.37 do
zezwolenia na takie operacje powinno się używać CAP_SYSLOG);
• wykonywanie polecenia vm86(2) VM86_REQUEST_IRQ;
• dostęp do takiej samej funkcjonalności punktów kontrolnych/przywracania jak ta
zarządzana przywilejem CAP_CHECKPOINT_RESTORE (jednak ten ostatni jest
preferowany do uzyskiwania dostępu do tej funkcjonalności, ponieważ jest
bardziej ograniczony).
• przeprowadzanie takich samych operacji BPF (filtrowania pakietów Berkeley -
przyp. tłum.) jak te zarządzane przywilejem CAP_BPF (jednak ten ostatni jest
preferowany do uzyskiwania dostępu do tej funkcjonalności, ponieważ jest
bardziej ograniczony).
• korzystanie z takich samych mechanizmów monitorowania wydajności, jak te
zarządzane przywilejem CAP_PERFMON (jednak ten ostatni jest preferowany do
uzyskiwania dostępu do tej funkcjonalności, ponieważ jest bardziej ograniczony).
• przeprowadzanie operacji IPC_SET i IPC_RMID na dowolnych obiektach IPC Systemu
V;
• przesłanianie limitu zasobów RLIMIT_NPROC;
• przeprowadzanie operacji na atrybutach rozszerzonych: zaufanych i bezpieczeństwa
(zob. xattr(7));
• używanie lookup_dcookie(2);
• używanie ioprio_set(2) do przypisania klas harmonogramu wejścia/wyjścia
IOPRIO_CLASS_RT i (przed Linuksem 2.6.25) IOPRIO_CLASS_IDLE;
• fałszowanie identyfikatora procesu przy przekazywaniu referencji gniazd za
pomocą gniazd domeny uniksowej;
• wykraczanie poza określony w /proc/sys/fs/file-max systemowy limit otwartych
plików, w wywołaniach systemowych otwierających pliki (np. accept(2), execve(2),
open(2), pipe(2));
• używanie znaczników CLONE_* tworzących nowe przestrzenie nazw za pomocą clone(2)
i unshare(2) (lecz, od Linuksa 3.8, tworzenie przestrzeni nazw użytkownika nie
wymaga jakiegokolwiek przywileju);
• dostęp do uprzywilejowanych informacji o zdarzeniach perf;
• wywoływanie setns(2) (wymaga CAP_SYS_ADMIN w docelowej przestrzeni nazw);
• wywoływanie fanotify_init(2);
• przeprowadzanie uprzywilejowanych operacji KEYCTL_CHOWN i KEYCTL_SETPERM
keyctl(2);
• przeprowadzanie operacji MADV_HWPOISON madvise(2);
• wykorzystywanie TIOCSTI ioctl(2) do umieszczania znaków w kolejce wejściowej
terminala innego, niż terminal kontrolujący wywołującego;
• wykorzystywanie przestarzałego wywołania systemowego nfsservctl(2);
• wykorzystywanie przestarzałego wywołania systemowego bdflush(2);
• wykonywanie różnych operacji uprzywilejowanych ioctl(2) na urządzeniu blokowym;
• wykonywanie różnych operacji uprzywilejowanych ioctl(2) na systemie plików;
• wykonywanie operacji uprzywilejowanych ioctl(2) na urządzeniu /dev/random (zob.
random(4));
• instalowanie filtru seccomp(2) bez uprzedniej konieczności ustawienia atrybutu
wątku no_new_privs;
• modyfikowanie reguł zezwalających/zabraniających w grupach kontroli urządzenia;
• wykorzystywanie operacji PTRACE_SECCOMP_GET_FILTER ptrace(2) do zrzucania
filtrów seccomp śledzącego;
• wykorzystywanie operacji PTRACE_SETOPTIONS ptrace(2) do zawieszania zabezpieczeń
seccomp śledzącego (np. znacznik PTRACE_O_SUSPEND_SECCOMP);
• dokonywanie operacji administracyjnych na wielu sterownikach urządzeń;
• modyfikacja wartości priorytetów nice autogrupy, za pomocą zapisu do
/proc/pid/autogroup (zob. sched(7)).
CAP_SYS_BOOT
Używanie reboot(2) i kexec_load(2).
CAP_SYS_CHROOT
• Używanie chroot(2);
• zmienianie przestrzeni nazw montowań za pomocą setns(2)
CAP_SYS_MODULE
• Ładowanie i usuwanie modułów jądra (zob. init_module(2) i delete_module(2));
• przed Linuksem 2.6.25: porzucanie przywilejów z systemowego, ograniczonego
zbioru przywilejów.
CAP_SYS_NICE
• Zmniejszanie wartości nice procesu (nice(2), setpriority(2)) oraz zmienianie
wartości nice dowolnych procesów;
• ustawianie zasad planowania czasu rzeczywistego procesu wywołującego oraz
ustawianie zasad planowania i priorytetów dowolnych procesów
(sched_setscheduler(2), sched_setparam(2), sched_setattr(2));
• ustawianie koligacji procesorów (ang. affinity) dla dowolnych procesów
(sched_setaffinity(2));
• ustawianie klasy i priorytetu planowania wejścia/wyjścia dowolnych procesów
(ioprio_set(2));
• stosowanie migrate_pages(2) do dowolnych procesów oraz możliwość migrowania
procesów do dowolnych węzłów;
• stosowanie move_pages(2) do dowolnych procesów;
• używanie znaczniku MPOL_MF_MOVE_ALL z mbind(2) i move_pages(2).
CAP_SYS_PACCT
Używanie acct(2).
CAP_SYS_PTRACE
• Śledzenie dowolnych procesów za pomocą ptrace(2);
• stosowanie get_robust_list(2) do dowolnych procesów;
• transferowanie danych do i z pamięci, w przypadku dowolnych procesów, za pomocą
process_vm_readv(2) i process_vm_writev(2);
• dokonywanie inspekcji procesów za pomocą kcmp(2).
CAP_SYS_RAWIO
• Dokonywanie operacji wejścia/wyjścia na portach (iopl(2) i ioperm(2));
• uzyskiwanie dostępu do /proc/kcore;
• wykonywanie operacji FIBMAP ioctl(2);
• otwieranie urządzeń w celu dostępu do rejestrów charakterystycznych dla danego
modelu x86 (ang. model-specific register - MSR, zob. msr(4));
• aktualizowanie /proc/sys/vm/mmap_min_addr;
• tworzenie przypisań pamięci do adresów poniżej wartości określonej przez
/proc/sys/vm/mmap_min_addr;
• przypisywanie plików w /proc/bus/pci;
• otwieranie /dev/mem i /dev/kmem;
• wykonywanie rożnych poleceń w stosunku do urządzeń SCSI;
• wykonywanie określonych operacji na urządzeniach hpsa(4) i cciss(4);
• wykonywanie wielu charakterystycznych dla urządzenia operacji na innych
urządzeniach.
CAP_SYS_RESOURCE
• Używanie zarezerwowanej przestrzeni w systemach plików ext2;
• tworzenie wywołań ioctl(2) kontrolujących działanie dziennika ext3;
• przesłanianie limitów przydziałów dyskowych;
• zwiększanie limitów zasobów (zob. setrlimit(2));
• przesłanianie limitu zasobów RLIMIT_NPROC;
• przesłanianie maksymalnej liczby konsol, przy przydzielaniu konsol;
• przesłanianie maksymalnej liczby mapowań klawiszy;
• zezwalanie na więcej niż 64hz przerwań z zegara czasu rzeczywistego;
• podnoszenie limitu msg_qbytes kolejki komunikatów Systemu V ponad limit
określony w /proc/sys/kernel/msgmnb (zob. msgop(2) i msgctl(2));
• możliwość pominięcia limitu zasobów RLIMIT_NOFILE, dotyczącego deskryptorów
plików „w locie”, przy przekazywaniu deskryptorów pliku do innego procesu za
pomocą gniazd domeny uniksowej (zob. unix(7));
• przesłanianie limitu /proc/sys/fs/pipe-size-max przy ustawianiu pojemności
potoku za pomocą polecenia F_SETPIPE_SZ fcntl(2);
• korzystanie z F_SETPIPE_SZ do zwiększania pojemności potoku ponad limit
określony w /proc/sys/fs/pipe-max-size;
• przesłanianie limitów /proc/sys/fs/mqueue/queues_max,
/proc/sys/fs/mqueue/msg_max, i /proc/sys/fs/mqueue/msgsize_max przy tworzeniu
kolejek komunikatów POSIX (zob. mq_overview(7));
• korzystanie z operacji PR_SET_MM prctl(2);
• ustawianie /proc/pid/oom_score_adj na wartość niższą niż ostatnio ustawioną
przez proces z przywilejem CAP_SYS_RESOURCE.
CAP_SYS_TIME
Ustawianie zegara systemowego (settimeofday(2), stime(2), adjtimex(2)); ustawianie
zegara czasu rzeczywistego (sprzętowego).
CAP_SYS_TTY_CONFIG
Używanie vhangup(2); korzystanie z wielu uprzywilejowanych operacji ioctl(2) na
terminalach wirtualnych.
CAP_SYSLOG (od Linuksa 2.6.37)
• Wykonywanie uprzywilejowanych operacji syslog(2). Opis operacji wymagających
uprzywilejowania zawiera podręcznik systemowy syslog(2).
• Przeglądanie adresów ujawnionych w /proc i innych interfejsach, gdy
/proc/sys/kernel/kptr_restrict ma wartość 1 (zob. opis kptr_restrict w proc(5)).
CAP_WAKE_ALARM (od Linuksa 3.0)
Wyzwalanie czegoś, co wybudzi system (ustawienie budzików CLOCK_REALTIME_ALARM i
CLOCK_BOOTTIME_ALARM).
Przeszła i obecna implementacja
Pełna implementacja przywilejów wymaga aby:
• W przypadku wszystkich operacji uprzywilejowanych jądro sprawdzało, czy wątek ma
odpowiedni przywilej w swoim zbiorze efektywnym.
• Jądro zapewniało wywołania systemowe pozwalające na zmianę i pobranie przywilejów
wątku.
• System plików obsługiwał dołączanie przywilejów do pliku wykonywalnego, aby proces mógł
zyskiwać te przywileje przy wykonywaniu pliku.
Przed Linuksem 2.6.24 jedynie dwa pierwsze warunki były spełnione, Linux od wersji 2.6.24
wypełnia wszystkie trzy wymagania.
Uwagi do deweloperów jądra
Przy dodawaniu nowej funkcji, która powinna być zarządzania przywilejami, należy rozważyć
poniższe punkty.
• Celem przywilejów jest podzielenie uprawnień superużytkownika na fragmenty, dzięki
czemu program, którego jeden lub kilka przywilejów zostało przejętych, ma mniejsze
możliwości uczynienia szkód w systemie, niż ten sam program działający z uprawnieniami
roota.
• Deweloper ma wybór: utworzyć nowy przywilej dla swojej nowej funkcji lub przypisanie
funkcji do jednego z istniejących. Aby zestaw przywilejów miał rozsądny rozmiar, zaleca
się to drugie podejście, chyba że istnieją przekonujące powody do tworzenia nowego
przywileju (istnieje również limit techniczny: zestaw przywilejów jest obecnie
ograniczony do 64 bitów).
• Aby dowiedzieć się, który przywilej będzie najlepiej pasował do opracowywanej nowej
funkcji, należy sprawdzić powyższą listę przywilejów w kolejności, aby znaleźć
„koszyk”, w którym nowa funkcja najlepiej się odnajdzie. Jednym ze sposobów jest
sprawdzenie, czy inne funkcje wymagające jakiegoś przywileju będą zawsze używane z nową
funkcją. Jeśli nowa funkcja jest bezużyteczna bez tych innych funkcji, należy użyć tego
samego przywileju jak one.
• Nie należy wybierać CAP_SYS_ADMIN, jeśli tylko uda się tego uniknąć! Wiele
istniejących sprawdzeń przywilejów jest z nim związanych (zob. częściową listę
powyżej). Można go już przekonująco nazwać „nowym rootem”, jako że, z jednej strony
obejmuje cały szereg uprawnień, a z drugiej ze względu na szerokie spektrum wymagany
jest również przez wiele uprzywilejowanych programów. Nie należy pogłębiać tego
problemu. Jedynymi funkcjami, które należy wiązać z CAP_SYS_ADMIN są te ściśle pasujące
do istniejących funkcji tego koszyka.
• Jeśli okaże się, że istnieje jednak konieczność utworzenia nowego przywileju dla
opracowywanej funkcji, nie należy tworzyć go lub nazywać jako przywileju
„jednorazowego”. Z tego względu na przykład, dodanie bardzo specjalistycznego
przywileju CAP_SYS_PACCT było najprawdopodobniej błędne. Zamiast tego należy
zidentyfikować i nazwać swój nowy przywilej jako szerszy koszyk, do którego pasować
mogą w przyszłości inne związane funkcje.
Zbiory przywilejów wątku
Każdy wątek ma następujący zbiór przywilejów zawierający zero lub więcej z przywilejów
opisanych wyżej:
Dozwolony (ang. permitted)
Jest to ograniczający nadzbiór przywilejów efektywnych, jakie może przyjąć wątek.
Jest to również ograniczający nadzbiór przywilejów, jakie można dodać do zbioru
dziedzicznego, w przypadku przywilejów które można dodać do zbioru dziedzicznego
przez wątek nieposiadający przywileju CAP_SETPCAP w swoim zbiorze efektywnym.
Jeśli wątek porzuci przywilej ze swojego zbioru dozwolonego, nigdy nie może
pozyskać tego przywileju ponownie (chyba że execve(2) wykona program z
set-user-ID-root lub program, którego powiązane przywileje pliku dają taki
przywilej).
Dziedziczny (ang. inheritable)
Jest to zbiór przywilejów zachowywany na przestrzeni całego execve(2). Przywileje
dziedziczne pozostają dziedziczone przy wykonywaniu dowolnego programu oraz są
dodawane do zbioru dozwolonego przy wykonywaniu programu, który ma ustawione
odpowiadające bity w zbiorze dziedzicznym pliku.
Ze względu na to, że przywileje dziedziczne nie są zwykle zachowywane na
przestrzeni execve(2) przy działaniu jako użytkownik nieuprzywilejowany (nie root),
programy które chciałyby wykonać swoje programy pomocnicze z podniesionymi
przywilejami, powinny rozważyć korzystanie z przywilejów tła, opisanych poniżej.
Efektywny (ang. effective)
Jest to zbiór przywilejów używany przez jądro do sprawdzenia uprawnień wątku.
Ograniczający (ang. bounding; na wątek od Linuksa 2.6.25)
Zbiór przywilejów ograniczających jest mechanizmem używanym do ograniczenia
przywilejów pozyskiwanych w trakcie execve(2).
Od Linuksa 2.6.25, jest to zbiór przywilejów przypisywany do wątku. W starszych
jądrach, zbiór przywilejów ograniczających był systemowy i dzielony przez wszystkie
wątki systemu.
Więcej szczegółów opisano w rozdziale Zbiór przywilejów ograniczających poniżej.
Tła (ang. ambient; od Linuksa 4.3)
Jest to zbiór przywilejów zachowywany na przestrzeni execve(2) nieuprzywilejowanego
programu. Przywileje tła przestrzegają zasady, że żaden przywilej nie może zostać
przywilejem tła, jeśli nie jest zarówno dozwolony jak i dziedziczny.
Zbiór przywilejów tła można modyfikować bezpośrednio za pomocą prctl(2). Przywileje
tła są automatycznie zmniejszane, jeśli zmniejszony zostanie odpowiadający
przywilej dozwolony lub dziedziczny.
Wykonanie programu zmieniającego identyfikator użytkownika lub grupy ze względu na
bity ustawienia ID użytkownika lub grupy podczas wykonania (suid/sgid) albo
programu, który ma jakiekolwiek przywileje plikowe, wyczyści zbiór przywilejów tła.
Przywileje tła są dodawane do zbioru dozwolonego i przypisywane do zbioru
efektywnego przy wywołaniu execve(2). Jeśli przywilej tła spowoduje zwiększenie
przywilejów dozwolonych i efektywnych procesu podczas execve(2), nie wyzwoli to
trybu bezpiecznego wykonania opisanego w ld.so(8).
Wątek potomny utworzony za pomocą fork(2) dziedziczy kopie zbioru przywilejów swojego
rodzica. Szczegóły wpływu execve(2) na przywileje opisano w rozdziale Transformacja
przywilejów podczas execve() poniżej.
Za pomocą capset(2), wątek może zmieniać swój zbiór przywilejów, zob. rozdział Programowe
dostosowywanie zbioru przywilejów poniżej.
Od Linuksa 3.2, plik /proc/sys/kernel/cap_last_cap ujawnia wartość numeryczną najwyższego
przywileju obsługiwanego przez działające jądro; można to wykorzystać do określenia
najwyższego bitu, jaki można ustawić w zbiorze przywilejów.
Przywileje pliku
Od Linuksa 2.6.24 jądro obsługuje powiązanie zbioru przywilejów z plikiem wykonywalnym za
pomocą setcap(8). Zbiory przywilejów pliku są przechowywane w atrybucie rozszerzonym (zob.
setxattr(2) i xattr(7)) o nazwie security.capability. Zapis do tego atrybutu rozszerzonego
wymaga przywileju CAP_SETFCAP. Zbiory przywilejów pliku, razem ze zbiorem przywilejów
wątku, określają przywileje wątku po execve(2).
Istnieją trzy zbiory przywilejów pliku:
Dozwolone (ang. permitted; wcześniej znane jako wymuszone - ang. forced):
Te przywileje są automatycznie dozwolone dla wątku, niezależnie od przywilejów
dziedzicznych wątku.
Dziedziczne (ang. inheritable; wcześniej znane jako dozwolone - ang. allowed):
Na tym zbiorze wykonywana jest operacja AND ze zbiorem dziedzicznym wątku, w celu
określenia które przywileje dziedziczne są włączone w zbiorze dozwolonym wątku, po
execve(2).
Efektywne (ang. effective)
Nie jest to zbiór, lecz pojedynczy bit. Jeśli jest ustawiony, to podczas execve(2)
wszystkie nowo dozwolone przywileje wątku są również podnoszone w zbiorze
efektywnym. Jeśli bit jest nieustawiony, to po execve(2), żaden z nowo dozwolonych
przywilejów nie trafia do nowego zbioru efektywnego.
Włączenie efektywnego bitu przywilejów pliku wymusza sytuację, że przywilej
dozwolony lub dziedziczny dowolnego pliku, który powoduje pozyskanie przez wątek
odpowiadającego przywileju podczas execve(2) (zob. Transformacja przywilejów
podczas execve() poniżej) pozyska również ten przywilej w swoim zbiorze efektywnym.
Z tego względu przy przypisywaniu przywilejów do pliku (cap_set_file(3),
cap_set_fd(3), setcap(8)), jeśli poda się znacznik przywileju efektywnego, jako
mającą być włączoną dla dowolnego przywileju, to znacznik efektywny musi być
również podany jako włączony dla wszystkich innych przywilejów, dla których
odpowiadający znacznik dozwolony lub dziedziczny jest włączony.
Wersjonowanie atrybutu rozszerzonego przywilejów pliku
W celu zachowania przyszłej rozszerzalności, jądro obsługuje sposób kodowania numeru
wersji wewnątrz atrybutu rozszerzonego security.capability, który jest używany do
implementacji przywilejów pliku. Poniższe numery wersji są wewnętrzne i niewidoczne wprost
dla aplikacji w przestrzeni użytkownika. Do tej pory obsługiwane są następujące wersje:
VFS_CAP_REVISION_1
Była to oryginalna implementacja przywilejów pliku, obsługująca 32-bitowe maski
przywilejów pliku.
VFS_CAP_REVISION_2 (od Linuksa 2.6.25)
Ta wersja pozwalała na maski przywilejów pliku o rozmiarze 64 bitów oraz była
konieczna wobec przekroczenia przez przywileje liczby 32. Jądro kontynuuje obsługę
plików, które mają 32-bitową maskę przywilejów w wersji 1, w sposób przezroczysty,
lecz przy dodawaniu przywilejów do plików, które uprzednio ich nie posiadały oraz
przy modyfikacji przywilejów istniejących plików, automatycznie użyje wersji 2 (lub
wersji 3, zgodnie z opisem poniżej).
VFS_CAP_REVISION_3 (od Linuksa 4.14)
Wersja 3 przywilejów plików zapewnia przywileje przestrzeni nazw plików (opisanych
niżej).
Podobnie jak w wersji 2 przywilejów pliku, maski przywilejów w wersji 3 mają
rozmiar 64 bitów. Jednak oprócz tego, w atrybucie rozszerzonym security.capability
zakodowano przestrzeń nazw identyfikatora użytkownika root (jest to wartość, którą
użytkownik o identyfikatorze 0 wewnątrz tej przestrzeni nazw przypisuje początkowej
przestrzeni nazw użytkownika).
Przywileje pliku w wersji 3 są zaprojektowane do wspólnej egzystencji z
przywilejami pliku w wersji 2 tj. we współczesnym systemie Linux część plików może
mieć przywileje w wersji 2, a inne w wersji 3.
Przed Linuksem 4.14, jedynym rodzajem atrybutu rozszerzonego przywileju pliku, jaki mógł
być dołączony do pliku, był atrybut VFS_CAP_REVISION_2. Od jądra Linux 4.14, wersja
atrybutu rozszerzonego security.capability dołączonego do pliku zależy od okoliczności, w
jakich utworzono atrybut.
Od Linuksa 4.14, atrybut rozszerzony security.capability jest tworzony (lub
przekształcany) automatycznie na atrybut w wersji 3 (VFS_CAP_REVISION_3) jeśli spełnione
są oba poniższe warunki:
• Wątek zapisujący do atrybutu rezyduje w niepierwotnej przestrzeni nazw użytkownika
(ściślej mówiąc: wątek rezydujący w przestrzeni nazw użytkownika innej niż ta, z której
zamontowano zasadniczy system plików.)
• Wątek ma przywilej CAP_SETFCAP wobec i-węzła pliku, co oznacza, że (a) wątek ma
przywilej CAP_SETFCAP wobec swojej przestrzeni nazw użytkownika oraz (b) identyfikatory
użytkownika i grupy i-węzła pliku mają przypisania w przestrzeni nazw użytkownika
zapisującego.
Gdy tworzony jest atrybut rozszerzony security.capability VFS_CAP_REVISION_3,
identyfikator użytkownika root tworzącego wątku w przestrzeni nazw użytkownika jest
zapisywany w atrybucie rozszerzonym.
Odmiennie, przy tworzeniu lub modyfikacji atrybutu rozszerzonego security.capability z
uprzywilejowanego (CAP_SETFCAP) wątku rezydującego w przestrzeni nazw, w której
zamontowano zasadniczy system plików (zwykle oznacza to pierwotną przestrzeń nazw
użytkownika), atrybut zostanie automatycznie utworzony w wersji 2 (VFS_CAP_REVISION_2).
Proszę zauważyć, że utworzenie wersji 3 atrybutu rozszerzonego security.capability jest
automatyczne. Oznacza to, że jeśli program w przestrzeni użytkownika dokonuje zapisu
(setxattr(2)) atrybutu security.capability w wersji 2, jądro automatycznie utworzy atrybut
w wersji 3, jeśli atrybut jest utworzony w okolicznościach opisach powyżej. Odpowiednio,
gdy pobierany jest atrybut security.capability w wersji 3 (getxattr(2)) przez proces
rezydujący w przestrzeni nazw użytkownika, który został utworzony przez identyfikator
użytkownika roota (lub potomek tej przestrzeni nazw użytkownika), zwracany atrybut jest
(automatycznie) upraszczany, aby wyglądał na atrybut w wersji 2 (tzn. wartość zwracana ma
rozmiar atrybutu w wersji 2 oraz nie zawiera identyfikatora użytkownika root). To
tłumaczenie w locie oznacza, że w narzędziach przestrzeni użytkownika (np. setcap(1) i
getcap(1)) nie są konieczne zmiany aby używać tych narzędzi do tworzenia i pobierania
atrybutów security.capability w wersji 3.
Proszę zwrócić uwagę, że plik może posiadać powiązany z nim atrybut rozszerzony
security.capability w wersji 2 albo w wersji 3, ale nie obu: utworzenie albo modyfikacja
atrybutu rozszerzonego security.capability automatycznie zmodyfikuje wersję, w zależności
od okoliczności, w jakich utworzono lub zmodyfikowano atrybut rozszerzony.
Transformacja przywilejów podczas execve()
Podczas execve(2), jądro oblicza nowe przywileje procesu za pomocą poniższego algorytmu:
P'(tła) = (plik jest uprzywilejowany) ? 0 : P(tła)
P'(dozwolony) = (P(dziedziczny) & F(dziedziczny)) |
(F(dozwolony) & P(ograniczający)) | P'(tła)
P'(efektywny) = F(efektywny) ? P'(dozwolony) : P'(tła)
P'(dziedziczny) = P(dziedziczny) [tzn. bez zmian]
P'(ograniczający) = P(ograniczający) [tzn. bez zmian]
gdzie:
P() oznacza wartość zbioru przywilejów wątku przed execve(2)
P'() oznacza wartość zbioru przywilejów wątku po execve(2)
F() oznacza zbiór przywilejów pliku
Proszę zwrócić uwagę na detale odnoszące się do powyższych reguł transformacji
przywilejów:
• Zbiór przywilejów tła jest obecny jedynie od Linuksa 4.3. Przy określaniu transformacji
zbioru tła podczas execve(2), plikiem uprzywilejowanym jest plik posiadający przywileje
lub ustawiony bit ustawienia ID użytkownika lub grupy podczas wykonania (suid/sgid).
• Przed Linuksem 2.6.25, zbiór ograniczający był atrybutem systemowym dzielonym przez
wszystkie wątki. Ta wartość systemowa była używana do obliczania podczas execve(2)
nowego zbioru dozwolonego w ten sam sposób jak pokazano powyżej dla P(ograniczającego).
Uwaga: podczas przekształceń przywilejów opisanych powyżej, przywileje plików mogą zostać
zignorowane (potraktowane jako puste) z tych samych powodów jak ignorowane są bity
ustawienia ID użytkownika lub grupy podczas wykonania (suid/sgid); zob. execve(2).
Przywileje pliku są ignorowane w podobny sposób, jeśli rozruch jądra nastąpił z opcją
no_file_caps.
Uwaga: zgodnie z powyższymi regułami, jeśli proces z niezerowym identyfikatorem
użytkownika wykona execve(2), to wszystkie przywileje obecne w jego zbiorze dozwolonym i
efektywnym zostaną wyczyszczone. Sposób traktowania przywilejów, gdy proces z
identyfikatorem użytkownika równym zero wykonuje execve(2), opisano w rozdziale Przywileje
i wykonanie programów przez roota poniżej.
Kontrola bezpieczeństwa plików binarnych ślepych na przywileje
Plikiem binarnym ślepym na przywileje (ang. capability-dumb) jest program oznaczony jako
posiadający przywileje pliku, ale który nie został zmieniony w celu używania API libcap(3)
do modyfikacji swoich przywilejów (innymi słowy jest to program korzystający z
tradycyjnego bitu ustawienia ID roota podczas wykonania (suid), który został przełączony
do korzystania z przywilejów pliku, ale którego kodu nie zmodyfikowano w celu rozumienia
przywilejów). W przypadku takich programów bit przywilejów efektywnych jest ustawiany na
pliku, dzięki czemu przywileje dozwolone pliku są automatycznie włączone w zbiorze
efektywnym procesu, gdy plik jest wykonywany. Jądro rozpoznaje plik, który posiada
ustawiony bit efektywnych przywilejów, jako ślepego na przywileje, do celu opisywanej tu
kontroli.
Przy wykonywaniu pliku binarnego ślepego na przywileje, jądro sprawdza, czy proces
pozyskał wszelkie przywileje dozwolone, które zostały podane w zbiorze dozwolonym pliku,
po transformacji przywilejów opisanej wyżej (typowym powodem, dla którego może to nie
nastąpić, jest zamaskowanie przez zbiór ograniczający przywilejów niektórych przywilejów
ze zbioru dozwolonego pliku). Jeśli proces nie pobierze pełnego zbioru przywilejów
dozwolonych, to execve(2) nie powiedzie się z błędem EPERM. Zapobiega się w ten sposób
potencjalnemu zagrożeniu bezpieczeństwa, które mogłoby wystąpić, gdyby aplikacja ślepa na
przywileje została wykonana z mniejszymi przywilejami niż jest to wymagane. Proszę
zauważyć, że z definicji, aplikacja nie może sama rozpoznać tego problemu, ponieważ nie
korzysta z API libcap(3).
Przywileje i wykonanie programów przez roota
Aby odtworzyć tradycyjną semantykę uniksową, jądro w sposób specjalny traktuje przywileje
pliku, gdy program jest wykonywany przez proces z UID 0 (tj. roota) lub gdy wykonywany
jest program z bitem ustawienia ID roota (suid).
Po przeprowadzeniu zmian wobec efektywnego identyfikatora procesu wyzwolonych przez bit
ustawienia ID użytkownika (suid) pliku binarnego — jak np. przełączenie efektywnego
identyfikatora użytkownika na 0 (tj. root), ponieważ wykonano program z ustawieniem ID
użytkownika (suid) — jądro oblicza zbiór przywilejów pliku zgodnie z poniższymi zasadami:
(1) Jeśli rzeczywistym lub efektywnym identyfikatorem użytkownika jest 0 (tj. root), to
zbiory dziedziczne i dozwolone pliku są ignorowane; zamiast tego są one rozważane
jako wszystkie (tzn. wszystkie przywileje włączone). Wobec tego zachowania istnieje
jeden wyjątek, opisany poniżej w rozdziale Programy z ustawieniem ID użytkownika
(suid), które posiadają przywileje pliku.
(2) Jeśli proces ma identyfikator efektywny użytkownika równy 0 (tj. root) lub włączono
bit efektywny pliku, to rozważany jest bit efektywny pliku (jako włączony).
Te rozważane wartości zbioru przywilejów pliku są następnie używane zgodnie z opisem
powyżej, do obliczenia transformacji przywilejów procesu podczas execve(2).
Dlatego, gdy proces z niezerowym UID wykonuje execve(2) na programie z ustawieniem ID
roota podczas wykonania (suid), który nie posiada dołączonych przywilejów albo gdy proces,
którego rzeczywiste i efektywne identyfikatory użytkownika wynoszą 0 i wykonuje execve(2)
na programie, obliczenie nowych dozwolonych przywilejów procesu upraszcza się do:
P'(dozwolony) = P(dziedziczny) | P(ograniczający)
P'(efektywny) = P'(dozwolony)
W efekcie, proces zyskuje wszystkie przywileje ze swojego zbioru dozwolonego i
efektywnego, z wyjątkiem tych wyłączonych zbiorem przywilejów ograniczających (w
obliczeniu P'(dozwolonego), wyrażenie P'(tła) można uprościć i wykreślić, ponieważ jest to
z definicji prawidłowy podzbiór P(dziedzicznych)).
Specjalne traktowanie użytkownika o identyfikatorze równym 0 (tj. roota) opisane w
niniejszym podrozdziale, można wyłączyć za pomocą mechanizmu securebits opisanego poniżej.
Programy z ustawieniem ID roota podczas wykonania (suid), które posiadają przywileje pliku
Istnieje jeden wyjątek wobec zachowania opisanego powyżej w rozdziale Przywileje i
wykonanie programów przez roota. Jeśli (a) wykonywany plik binarny ma dołączone przywileje
oraz (b) proces ma rzeczywisty identyfikator użytkownika, który nie jest równy 0 (tj. nie
jest rootem) oraz (c) proces ma efektywny identyfikator użytkownika równy 0 (tj. root), to
bity przywilejów pliku są honorowane (tzn. nie są rozważane jako wszystkie włączone).
Standardową sytuacją, w której może to nastąpić, jest wykonywanie programu z ustawieniem
ID roota podczas wykonania (suid), który ma również przywileje pliku. Gdy taki program
jest wykonywany, to proces zyskuje wyłącznie przywileje nadane przez program (tzn. nie
wszystkie przywileje, jak stałoby się przy wykonaniu programu z ustawieniem ID roota
podczas wykonania (suid), który nie ma przypisanych żadnych przywilejów pliku).
Proszę zauważyć, że można przypisać zbiór pusty przywilejów do pliku programu, zatem
możliwe jest utworzenie programu z ustawieniem ID roota podczas wykonania (suid), który
zmienia efektywny i zapisany suid procesu wykonującego program na 0, ale nie przyznaje mu
żadnych przywilejów.
Zbiór przywilejów ograniczających
Zbiór przywilejów ograniczających jest mechanizmem bezpieczeństwa, którego można użyć do
ograniczenia przywilejów, które można zyskać podczas execve(2). Zbiór ograniczający jest
używany na następujące sposoby:
• Podczas execve(2), zbiór przywilejów ograniczających jest sumowany ze zbiorem
przywilejów dozwolonych, a wynik tej operacji jest przypisywany do zbioru przywilejów
dozwolonych wątku. Zbiór przywilejów ograniczających ogranicza zatem przywileje
dozwolone, które mogą być przyznane plikowi wykonywalnemu.
• (Od Linuksa 2.6.25) Zbiór przywilejów ograniczających działa jako nadzbiór
ograniczający wobec przywilejów, które mogą być dodane przez wątek do swojego zbioru
dziedzicznego za pomocą capset(2). Oznacza to, że jeśli przywilej nie występuje w
zbiorze ograniczającym, to wątek nie może dodać go do swoich przywilejów dozwolonych,
tym samym nie może zachować tego przywileju swoim zbiorze dopuszczalnym, gdy wykona
execve(2) na pliku, który posiada ten przywilej w swoim zbiorze dziedzicznym.
Proszę zauważyć, że zbiór ograniczający ogranicza przywileje dozwolone, ale nie ogranicza
przywilejów dziedzicznych. Jeśli wątek zachowa przywilej, niebędący w jego zbiorze
ograniczającym, w swoim zbiorze dziedzicznym, to może wciąż zyskać ten przywilej w swoim
zbiorze dozwolonym, wykonując plik, posiadający ten przywilej w swoim zbiorze
dziedzicznym.
W zależności od wersji jądra, zbiór przywilejów ograniczających jest atrybutem albo
systemowym, albo przypisanym wątkowi.
Zbiór przywilejów ograniczających od Linuksa 2.6.25
Od Linuksa 2.6.25, zbiór przywilejów ograniczających jest przypisany wątkowi (opisany
niżej systemowy zbiór przywilejów ograniczających już nie istnieje).
Zbiór ograniczający jest dziedziczony w momencie wykonania fork(2) od wątku
rodzicielskiego i jest zachowywany przy execve(2).
Wątek może usunąć przywileje ze swojego zbioru ograniczającego za pomocą operacji
PR_CAPBSET_DROP prctl(2), zakładając że ma przywilej CAP_SETPCAP. Po usunięciu przywileju
ze zbioru ograniczającego, nie da się go tam przywrócić. Wątek może sprawdzić czy
przywilej znajduje się w jego zbiorze ograniczającym, za pomocą operacji PR_CAPBSET_READ
prctl(2).
Usuwanie przywilejów ze zbioru ograniczającego jest obsługiwane wyłącznie, jeśli w jądro
wkompilowano przywileje pliku. Przed Linuksem 2.6.33, przywileje pliku były opcjonalne i
konfigurowało się je opcją CONFIG_SECURITY_FILE_CAPABILITIES. Od Linuksa 2.6.33 opcję tę
usunięto, a przywileje pliku są zawsze częścią jądra. Gdy przywileje pliku wkompilowano w
jądro, proces init (przodek wszystkich procesów) zaczyna działanie z pełnym zbiorem
ograniczającym. Jeśli przywileje pliku nie są wkompilowane w jądro, to init rozpocznie z
pełnym zbiorem ograniczającym minus CAP_SETPCAP, ponieważ przywilej ten zmienia znaczenie,
gdy nie występują przywileje pliku.
Usunięcie przywileju ze zbioru ograniczającego nie usuwa go ze zbioru dziedzicznego wątku.
Uniemożliwia jednak ponowne dodanie przywileju do zbioru dziedzicznego wątku w
przyszłości.
Zbiór przywilejów ograniczających przed Linuksem 2.6.25
Przed Linuksem 2.6.25 zbiór przywilejów ograniczających jest atrybutem systemowym,
dotyczącym wszystkich wątków w systemie. Zbiór ograniczający jest dostępny za
pośrednictwem pliku /proc/sys/kernel/cap-bound (co mylące, ten parametr maski bitowej jest
w /proc/sys/kernel/cap-bound prezentowany jako liczba dziesiętna ze znakiem).
Tylko proces init może ustawić przywileje w zbiorze przywilejów ograniczających, natomiast
superużytkownik (precyzyjniej: proces z przywilejem CAP_SYS_MODULE) może jedynie usunąć
przywileje z tego zbioru.
W standardowym systemie, maska zbioru przywilejów ograniczających zawsze prowadzi do
usunięcia przywileju CAP_SETPCAP. Aby usunąć to ograniczenie (niebezpieczne!), należy
zmodyfikować definicję CAP_INIT_EFF_SET w include/linux/capability.h i przebudować jądro.
Funkcję systemowego zbioru przywilejów ograniczających dodano w jądrze Linux 2.2.11.
Wpływ zmian identyfikatora użytkownika na przywileje
Aby zachować tradycyjną semantykę przejścia pomiędzy identyfikatorami użytkowników równymi
i różnymi od 0, jądro dokonuje następujących zmian w zbiorach przywilejów wątku przy
zmianach następujących identyfikatorów użytkownika (za pomocą setuid(2), setresuid(2) lub
podobnych): rzeczywistego, efektywnego, zbioru zapisanego oraz systemu plików:
• Jeśli jeden lub kilka z identyfikatorów: rzeczywistego, efektywnego lub zbioru
zapisanego wynosił uprzednio 0, a wynikiem zmian identyfikatorów użytkowników jest
wartość niezerowa wszystkich tych identyfikatorów, to ze zbioru przywilejów:
dozwolonego, efektywnego i tła usuwane są wszystkie przywileje.
• Jeśli efektywny identyfikator użytkownika zmienił się z 0 na wartość niezerową, to ze
zbioru efektywnego usuwane są wszystkie przywileje.
• Jeśli efektywny identyfikator użytkownika zmienił się z wartości niezerowej na 0, to
zbiór dozwolony jest kopiowany do zbioru efektywnego.
• Jeśli identyfikator użytkownika systemu plików zmienił się z 0 na wartość niezerową
(zob. setfsuid(2)), to następujące przywileje są usuwane ze zbioru efektywnego:
CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID,
CAP_LINUX_IMMUTABLE (od Linuksa 2.6.30), CAP_MAC_OVERRIDE i CAP_MKNOD (od Linuksa
2.6.30). Jeśli UID systemu plików zmieni się z wartości niezerowej na 0, to przywileje
włączone w zbiorze dozwolonym są włączane w zbiorze efektywnym.
Jeśli wątek posiadający wartość równą 0 dla jednego lub kilku swoich identyfikatorów
użytkownika chce zapobiec usunięciu swojego zbioru przywilejów dozwolonych przy
zresetowaniu wszystkich swoich wartości identyfikatorów użytkownika na wartości niezerowe,
może to uczynić za pomocą znacznika securebits SECBIT_KEEP_CAPS opisanego niżej.
Programowe dostosowywanie zbioru przywilejów
Wątek może pobierać i zmieniać swoje zbiory przywilejów: dozwolonych, efektywnych i
dziedzicznych za pomocą wywołań systemowych capget(2) i capset(2). Zaleca się jednak
stosowanie do tego celu cap_get_proc(3) i cap_set_proc(3) z pakietu libcap. Zmiany zbiorów
przywilejów wątku rządzą się następującymi prawami:
• Jeśli wywołujący nie posiada przywileju CAP_SETPCAP, to nowy zbiór dziedziczny musi być
podzbiorem kombinacji istniejących zbiorów: dziedzicznego i dozwolonego.
• (Od Linuksa 2.6.25) Nowy zbiór dziedziczny musi być podzbiorem kombinacji istniejących
zbiorów: dziedzicznego i ograniczającego.
• Nowy zbiór dozwolony musi być podzbiorem istniejącego zbioru dozwolonego (tzn. nie da
się zyskać nowych przywilejów dozwolonych, których wątek nie miał do tej pory).
• Nowy zbiór efektywny musi być podzbiorem nowego zbioru dozwolonego.
Znaczniki securebits: tworzenie środowiska korzystającego wyłącznie z przywilejów
Począwszy od Linuksa 2.6.26 i jądra, w którym włączono przywileje pliku, Linux
implementuje zbiór znaczników securebits przypisanych wątkowi, które mogą wyłączyć
specjalne traktowanie przywilejów identyfikatora użytkownika równego 0 (tj. roota).
Występują znaczniki:
SECBIT_KEEP_CAPS
Ustawienie tego znacznika pozwala wątkowi posiadającemu jeden lub więcej UID-ów
równych 0 na zachowanie przywilejów w swoim zbiorze dozwolonym, po przełączeniu
wszystkich swoich UID-ów na wartości niezerowe. Jeśli znacznik ten nie jest
ustawiony, to takie przełączenie powoduje utratę przez wątek wszystkich przywilejów
dozwolonych. Znacznik ta jest zawsze czyszczony przy wykonaniu execve(2).
Proszę zauważyć, że nawet gdy ustawiony jest znacznik SECBIT_KEEP_CAPS, to
przywileje efektywne wątku są usuwane przy przełączeniu swojego efektywnego UID-u
na wartość niezerową. Jednak gdy wątek ma ten znacznik ustawiony, jego efektywny
UID ma już wartość niezerową, a wątek przełączy następnie wszystkie inne UID-y na
wartości niezerowe, to przywileje efektywne wątku nie zostaną usunięte.
Ustawienie znacznika SECBIT_KEEP_CAPS jest ignorowane, gdy ustawiony jest znacznik
SECBIT_NO_SETUID_FIXUP (ten ostatnia zapewnia nadzbiór efektów pierwszego
znacznika).
Znacznik zapewnia taką samą funkcjonalność, jak starsza operacja PR_SET_KEEPCAPS
prctl(2).
SECBIT_NO_SETUID_FIXUP
Ustawienie tego znacznika powstrzyma jądro przed dostosowywaniem zbiorów
przywilejów procesu: dozwolonych, efektywnych i tła, w sytuacji, gdy UID-y wątku:
efektywne i systemu plików, są przełączane między wartościami zera i niezerowymi.
Więcej informacji w rozdziale Wpływ zmian identyfikatora użytkownika na przywileje
powyżej.
SECBIT_NOROOT
Jeśli bit ten jest ustawiony, jądro nie przydziela przywilejów gdy wykonywany jest
program z ustawieniem ID roota podczas wykonania (suid), albo gdy proces z
efektywnym lub rzeczywistym UID-em równym 0 wywołuje execve(2). (zob. rozdział
Przywileje i wykonanie programów przez roota powyżej.)
SECBIT_NO_CAP_AMBIENT_RAISE
Ustawienie tego znacznika uniemożliwia podniesienie przywilejów tła za pomocą
operacji PR_CAP_AMBIENT_RAISE prctl(2).
Każdy z powyższych znaczników „podstawowych” ma towarzyszący mu znacznik „blokujący”.
Ustawienie znacznika „blokującego” jest nieodwracalne i zapobiega dalszym zmianom
odpowiadającemu mu znacznikowi „podstawowemu”. Istnieją następujące znaczniki blokujące:
SECBIT_KEEP_CAPS_LOCKED, SECBIT_NO_SETUID_FIXUP_LOCKED, SECBIT_NOROOT_LOCKED i
SECBIT_NO_CAP_AMBIENT_RAISE_LOCKED.
Znaczniki securebits można zmodyfikować i pobrać za pomocą operacji PR_SET_SECUREBITS i
PR_GET_SECUREBITS prctl(2). Do modyfikowania znaczników potrzebny jest przywilej
CAP_SETPCAP. Proszę zauważyć, że stałe SECBIT_* są dostępne tylko wówczas, gdy są
umieszczone w pliku nagłówkowym <linux/securebits.h>.
Znaczniki securebits są dziedziczone przez procesy potomne. Podczas execve(2) zachowywane
są wszystkie znaczniki poza SECBIT_KEEP_CAPS, który jest zawsze usuwany.
Aplikacja może użyć następującego wywołania do zablokowania siebie i wszystkich swoich
potomków w środowisku, w którym jedyną metodą zyskania przywilejów, jest wykonanie
programu z powiązanymi przywilejami plików:
prctl(PR_SET_SECUREBITS,
/* SECBIT_KEEP_CAPS wyłączone */
SECBIT_KEEP_CAPS_LOCKED |
SECBIT_NO_SETUID_FIXUP |
SECBIT_NO_SETUID_FIXUP_LOCKED |
SECBIT_NOROOT |
SECBIT_NOROOT_LOCKED);
/* Ustawienie/zablokowanie SECBIT_NO_CAP_AMBIENT_RAISE
nie jest wymagane */
Programy z ustawieniem ID roota podczas wykonania („set-user-ID-root”) na przestrzeń
użytkownika
Programy z ustawieniem ID roota podczas wykonania (suid), których identyfikatory
użytkownika pasują do identyfikatorów użytkownika, który utworzył przestrzeń nazw
użytkownika, będą miały przyznane przywileje w zbiorach procesu: dozwolonym i efektywnym,
przy wykonywaniu przez dowolny proces z tej przestrzeni nazw i z każdej potomnej
przestrzeni nazw.
Reguły regulujące transformację przywilejów procesu podczas execve(2) są identyczne z
opisanymi w Transformacja przywilejów podczas execve() oraz Przywileje i wykonanie
programów przez roota powyżej, z jedyną różnicą, że w drugim z podrozdziałów „root” jest
identyfikatorem użytkownika tworzącego przestrzeń nazw użytkownika.
Przywileje pliku w przestrzeni nazw
Tradycyjne (tzn. w wersji 2) przywileje pliku wiążą jedynie zbiór masek przywilejów z
binarnym plikiem wykonywalnym. Gdy proces wykonuje plik binarny z takimi przywilejami,
zyskuje powiązane przywileje (w swojej przestrzeni nazw) według reguł opisanych w
rozdziale Transformacja przywilejów podczas execve() powyżej.
Ponieważ przywileje pliku w wersji 2 przyznają przywileje procesowi wykonującemu bez
względu na przestrzeń nazw, w której on rezyduje, jedynie procesy uprzywilejowane mogą
przypisywać przywileje do pliku. Tu „uprzywilejowany” oznacza proces, który ma przywilej
CAP_SETFCAP w przestrzeni nazw użytkownika, w której zamontowano system plików (zwykle
pierwotna przestrzeń nazw użytkownika). To ograniczenie czyni przywileje pliku
bezużytecznymi w niektórych zastosowaniach. Przykładowo, w kontenerach przestrzeni nazw
użytkownika przydatna może się okazać możliwość utworzenia pliku binarnego, który
przyznaje przywileje jedynie procesowi wykonywanemu wewnątrz takiego kontenera, ale nie
procesom wykonywanym na zewnątrz kontenera.
Linux 4.14 dodał tak zwane przywileje pliku w przestrzeni nazw, w celu obsługi takich
przypadków. Są one zapisywane jako atrybuty rozszerzone security.capability wersji 3.
(tzn. VFS_CAP_REVISION_3). Takie atrybuty są tworzone automatycznie w okolicznościach
opisanych w rozdziale Wersjonowanie atrybutu rozszerzonego przywilejów pliku powyżej. Przy
tworzeniu atrybutu rozszerzonego security.capability w wersji 3., w atrybucie rozszerzonym
jądro zapisze nie tylko maskę przywileju, lecz także identyfikator użytkownika root w
przestrzeni nazw.
Podobnie jak z plikiem binarnym z przywilejami pliku VFS_CAP_REVISION_2, plik binarny z
przywilejami pliku VFS_CAP_REVISION_3 przyznaje przywileje procesowi podczas execve().
Jednakże przywileje są przyznawane tylko gdy plik binarny jest wykonywany przez proces
rezydujący w przestrzeni nazw użytkownika, którego identyfikator użytkownika 0 jest
przypisany do identyfikatora użytkownika root zachowywanego w atrybucie rozszerzonym lub
gdy jest wykonywany przez proces rezydujący w potomkach takiej przestrzeni nazw.
Interakcja z przestrzeniami nazw użytkowników
Więcej informacji o interakcji przywilejów i przestrzeni nazw użytkownika znajduje się w
podręczniku user_namespaces(7).
STANDARDY
Nie istnieją standardy opisujące przywileje, lecz linuksowa implementacja przywilejów
powstała w oparciu o wycofany szkic standardu POSIX.1e ⟨https://archive.org/details
/posix_1003.1e-990310⟩.
UWAGI
Przy próbie wykonania strace(1) na plikach binarnych posiadających przywileje (lub plikach
binarnych z ustawieniem ID roota podczas wykonania (suid)) przydatna może okazać się opcja
-u <nazwa-użytkownika>. Przykład:
$ sudo strace -o trace.log -u użytkownik ./mójprywatnyprogram
W jądrze Linux w wersjach od 2.5.27 do 2.6.26, przywileje były opcjonalną częścią jądra i
mogły był włączane i wyłączane opcją konfiguracji jądra CONFIG_SECURITY_CAPABILITIES.
Aby zobaczyć zbiory przywilejów wątku można użyć pliku /proc/pid/task/TID/status. Plik
/proc/pid/status pokazuje zbiory przywilejów głównego wątku procesu. Przed Linuksem 3.8 w
tych zbiorach pokazywane były jako włączone (1) przywileje nieistniejące. Od Linuksa 3.8,
wszystkie nieistniejące przywileje (powyżej CAP_LAST_CAP) są pokazywane jako wyłączone
(0).
Pakiet libcap udostępnia zestaw procedur do ustawiania i pobierania przywilejów, który
jest bardziej komfortowy i mniej narażony na zmiany niż interfejs udostępniamy przez
capset(2) i capget(2). Pakiet ten zawiera również programy setcap(8) i getcap(8). Można go
znaleźć na stronie
⟨https://git.kernel.org/pub/scm/libs/libcap/libcap.git/refs/⟩.
Przed Linuksem 2.6.24, oraz w Linuksie 2.6.24 do 2.6.32 - jeśli nie włączono przywilejów,
wątek z przywilejem CAP_SETPCAP może zmieniać przywileje innego wątku. Jest to jednak
wyłącznie możliwość teoretyczna, ponieważ wątek nigdy nie posiada CAP_SETPCAP w żadnym z
dwóch poniższych przypadków:
• W implementacji przed wersją 2.6.25 zbiór przywilejów ograniczających na poziomie
systemu, /proc/sys/kernel/cap-bound, zawsze maskował przywilej CAP_SETPCAP usuwając go
i nie da się zmienić tego zachowania bez modyfikacji źródeł jądra i przebudowania
jądra.
• Jeśli przywileje pliku są wyłączone (tzn. opcja jądra CONFIG_SECURITY_FILE_CAPABILITIES
jest wyłączona), to init uruchomi się z przywilejem CAP_SETPCAP usuniętym ze swojego
zbioru ograniczającego przypisanego do procesu, a ten zbiór ograniczający jest
następnie dziedziczony przez wszystkie procesy utworzone w systemie.
ZOBACZ TAKŻE
capsh(1), setpriv(1), prctl(2), setfsuid(2), cap_clear(3), cap_copy_ext(3),
cap_from_text(3), cap_get_file(3), cap_get_proc(3), cap_init(3), capgetp(3), capsetp(3),
libcap(3), proc(5), credentials(7), pthreads(7), user_namespaces(7), captest(8),
filecap(8), getcap(8), getpcaps(8), netcap(8), pscap(8), setcap(8)
include/linux/capability.h w drzewie źródeł jądra Linux
TŁUMACZENIE
Autorami polskiego tłumaczenia niniejszej strony podręcznika są: Michał Kułach
<michal.kulach@gmail.com>
Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji
można uzyskać zapoznając się z GNU General Public License w wersji 3
⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ lub nowszej. Nie przyjmuje się ŻADNEJ
ODPOWIEDZIALNOŚCI.
Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej
⟨manpages-pl-list@lists.sourceforge.net⟩.