• Если процесс с реальным или действующим идентификатором администратора выполняет программу, или если программа, устанавливающая администраторский идентификатор, выполняется любым процессом, тогда наследуемый и разрешенный наборы файла будут иметь условно одинаковое содержимое. Если действующий UID процесса равен 0, или если он выполняет программу, устанавливающую идентификатор администратора, действующий бит файла будет условно равен 1 (см. подраздел 39.5.2). В обычных сценариях (то есть когда реальный и действующий идентификаторы пользователя равны 0 или когда выполняется программа, устанавливающая администраторский идентификатор) это означает, что процессы получают все возможности из своих разрешенных и действующих наборов.
В среде, которая основывается исключительно на системе возможностей, ядру не нужно было бы выполнять все эти процедуры, чтобы учесть особые права администратора. Программ, устанавливающих администраторский идентификатор, просто не существовало бы, а возможности файла использовались бы для выдачи минимально возможных привилегий, которые требуются приложению.
Существующие приложения не спроектированы для задействования возможностей файловой инфраструктуры, поэтому ядру приходится обеспечивать традиционный механизм работы с процессами, чей пользовательский идентификатор равен 0. Тем не менее у нас может возникнуть необходимость запустить программу в среде, основанной исключительно на системе возможностей, в которой администратор не требует к себе никакого особого обращения, описанного выше. Начиная с версии 2.6.26, Linux предоставляет механизм
Механизм securebits управляет флагами, перечисленными в табл. 39.2. Эти флаги связаны с
Параметры флагов безопасности наследуются дочерним процессом, созданным с помощью вызова fork(). Все они сохраняются на время работы exec(); исключение составляет параметр SECBIT_KEEP_CAPS, который в целях совместимости выключается с помощью флага PR_SET_KEEPCAPS, описанного ниже. Чтобы извлечь флаги безопасности, процесс может воспользоваться операцией PR_GET_SECUREBITS для вызова prctl(). Если процесс обладает возможностью CAP_SETPCAP, он может изменять флаги безопасности с помощью операции PR_SET_SECUREBITS для того же вызова. Приложение, которое полностью основано на системе возможностей, способно перманентно отключить особый уровень работы с привилегированным процессом и всеми его наследниками, выполнив такой вызов:
if (prctl(PR_SET_SECUREBITS,
/* SECBIT_KEEP_CAPS отключен */
SECBIT_NO_SETUID_FIXUP | SECBIT_NO_SETUID_FIXUP_LOCKED |
SECBIT_NOROOT | SECBIT_NOROOT_LOCKED)
== –1)
errExit("prctl");
После этого процесс может получить возможности, только запустив исполняемый файл, который ими обладает.
Таблица 39.2. Флаги безопасности
Флаг — Значение, если установлен
SECBIT_KEEP_CAPS — Предотвращает сбрасывание возможностей, когда процесс с одним или несколькими нулевыми UID присваивает идентификатору пользователя ненулевое значение. Действует, только если не установлен флаг SECBIT_NO_SETUID_FIXUP. Сбрасывается при вызове exec()
SECBIT_NO_SETUID_FIXUP — Предотвращает изменение возможностей, когда действующий UID или UID файловой системы переключаются между 0 и ненулевыми значениями
SECBIT_NOROOT — Не выдает возможности процессу с реальным или действующим пользовательским идентификатором, равным 0, который выполняет exec() или запускает программу, устанавливающую UID администратора (если только возможности не были установлены для самого исполняемого файла)
SECBIT_KEEP_CAPS_LOCKED — Блокирует флаг SECBIT_KEEP_CAPS
SECBIT_NO_SETUID_FIXUP_LOCKED — Блокирует флаг SECBIT_NO_SETUID_FIXUP
SECBIT_NOROOT_LOCKED — Блокирует флаг SECBIT_NOROOT
