39.3.6. Назначение и просмотр возможностей файла из командной оболочки
Команды setcap(8) и getcap(8), входящие в пакет libcap (и описанные в разделе 39.7), могут использоваться для работы с наборами возможностей файла. Их использование будет продемонстрировано с помощью короткого примера, в котором запускается стандартная команда date(1) (это одно из тех приложений, которые согласно определению из подраздела 39.3.4 не поддерживают систему возможностей). Если запустить ее с привилегиями, она способна изменить системное время. Программа date не устанавливает идентификатор администратора, поэтому, чтобы запустить ее в привилегированном режиме, необходимо войти в систему под именем root.
Сначала мы выведем текущее системное время и затем попытаемся изменить его от имени обычного пользователя:
$ date
Tue Dec 28 15:54:08 CET 2010
$ date — s '2018-02-01 21:39'
date: cannot set date: Operation not permitted
Thu Feb 1 21:39:0 °CET 2018
Как видите, команда date не смогла изменить системное время, однако вывела переданный ей аргумент в стандартном формате.
Теперь получим права администратора, что позволит нам успешно изменить системное время:
$ sudo date — s '2018-02-01 21:39'
root's password:
Thu Feb 1 21:39:0 °CET 2018
$ date
Thu Feb 1 21:39:02 CET 2018
Теперь создадим копию программы date и назначим ей необходимую возможность:
$ whereis — b date
date: /bin/date
$ cp /bin/date.
$ sudo setcap "cap_sys_time=pe" date
root's password:
$ getcap date
date = cap_sys_time+ep
Команда setcap, показанная выше, включает возможность CAP_SYS_TIME в разрешенный
Возможности скопированного нами файла позволяют изменять системное время непривилегированным пользователям:
$ ./date — s '2010–12–28 15:55'
Tue Dec 28 15:55:0 °CET 2010
$ date
Tue Dec 28 15:55:02 CET 2010
Полная реализация системы возможностей требует выполнения следующих условий.
• При каждой привилегированной операции ядро должно проверять наличие у процесса соответствующей возможности, а не наличие нулевого действующего UID (или UID файловой системы).
• Ядро должно предоставлять системные вызовы, с помощью которых возможности процесса можно просматривать и изменять.
• Ядро должно поддерживать механизм привязки возможностей к исполняемому файлу, чтобы при его запуске процесс мог их получить. Это похоже на принцип работы бита для установки идентификатора пользователя, однако позволяет независимое назначение исполняемому файлу любых возможностей. Кроме того, файловая система должна предоставлять набор программных интерфейсов и команд для задания и просмотра возможностей, привязанных к исполняемому файлу.
Когда-то ядро Linux отвечало только первым двум критериям. Но, начиная с версии 2.6.24, ядро позволяет назначать возможности файлам. Чтобы сделать реализацию возможностей в Linux полноценной, в версиях 2.6.25 и 2.6.26 появилось множество других функций.
При обсуждении возможностей мы в основном состредоточимся на современной реализации. В разделе 39.10 мы рассмотрим ее отличие от старых версий, которые не поддерживали назначение возможностей файлам. Кроме того, мы будем исходить из того, что система возможностей включена в ядре, хотя этот компонент является необязательным. Позже будут рассмотрены особенности работы в ситуациях, когда возможности файлов отключены (до некоторой степени это похоже на поведение ядра версий 2.6.23 и ниже, в которых возможности файлов не были реализованы).
В следующих разделах мы более подробно рассмотрим систему возможностей Linux.
Во время выполнения вызова exec() ядро задает процессу новые возможности, основываясь на его текущих наборах и на наборах исполняемого файла. Итоговые возможности вычисляются согласно следующим правилам:
P'(permitted) = (P(inheritable) & F(inheritable)) |
(F(permitted) & cap_bset)
P'(effective) = F(effective)? P'(permitted): 0
P'(inheritable) = P(inheritable)
P и P' обозначают наборы возможностей соответственно до и после выполнения exec(), а F — это набор возможностей файла. Идентификатор cap_bset обозначает ограничивающий набор. Стоит отметить, что вызов exec() оставляет наследуемый набор возможностей процесса без изменений.
39.5.1. Ограничивающий набор возможностей
