雪城大学信息安全讲义 3.3 提升 Set-UID 程序的安全性

3 提升 Set-UID 程序的安全性

  • exec函数
    • exec函数系列通过将当前进程映像包装为新的,来运行紫禁城。有许多exec函数的版本,工作方式不同。它们可以归类为:
      • 使用/不适用 Shell 来启动新程序。
      • 通过 Shell 处理命令行参数(Shell 可以引入比我们预期的更多功能。要注意 Shell 是个强大程序)。
    • 启动子进程涉及到依赖问题以及属性继承,我们之前看到它可能存在问题。函数execlpexecvp使用 Shell 来启动程序。它们使程序的执行依赖于当前用户安装的 Shell。例如,依赖于PATH和其它环境变量的值。函数execv跟家安全,因为它不向代码引入任何这种依赖。
    • system(CMD)调用向 Shell 传递字符串来执行子进程(即作为单独派生的进程)。它是个用于执行 EXEC 函数的方便的前端。
    • popen的标准实现也与之相似。这个函数打开到新锦成管道,以便执行命令,并读取任何输出作为文件流。这个函数也启动 Shell 来解释命令字符串。
  • 如何安全地调用程序?
    • 避免任何 Shell 的调用。不使用system,而是execveexecve不调用 Shell,system调用。
    • 避免execlp (file, ...)execvp(file,...),它们的语义类似于 Shell。它们使用文件内存作为 Shell 的标准输入,如果文件不是有效的可执行目标文件。
    • 小心可能使用 Shell 实现的函数。
      • Perl 的open函数可以执行命令,通常通过 Shell 来这么做。
  • 提升system的安全性

    • 要记住system首先调用/bin/sh。在 Ubuntu 中,它使用参数sh, -c和用户提供的字符串来调用execv /bin/sh
    • 在一些 Ubuntu 的早起版本中(例如 9.11),/bin/sh(实际上是 Bash)忽略 Set-UID 位选项。因此,在 Set-UID 中调用system(CMD)时,CMD 不会使用 Root 权限执行,除非 CMD 本身也是个 Set-UID 程序。下面 代码在 Bash 中丢弃了 Set-UID 位。

      if (running_setuid && privileged_mode == 0) 
          disable_priv_mode ();
      
      ... 
      void disable_priv_mode () { 
          setuid (current_user.uid);
          setgid (current_user.gid); 
          current_user.euid = current_user.uid; 
          current_user.egid = current_user.gid;
      }
    • 但是,上面的保护看似破坏了一些需要使用system的 Set-UID 程序。因此,从某个版本起,由于添加了其它条件(对于 11.04 和 12.04),保护被移除了。

      if (running_setuid && privileged_mode == 0 && act_like_sh ==0) 
          disable_priv_mode ();

      如果 Bash 通过/bin/sh符号链接调用,act_like_sh设为 1,因此权限没有禁用。但是,如果你直接将 Bash 变成 Set-UID 程序并尝试运行,保护仍然会有效,并且权限会丢弃。

posted @ 2017-04-19 10:26  绝不原创的飞龙  阅读(17)  评论(0编辑  收藏  举报  来源