linux Capabiltiy 示例——以前只有root和普通用户两种权限,root的权限太大了,现在有了cap,可以细分让某持续有单个权限而非所有特权,见下示例

Capabiltiy 示例

Capability的设定和清除

下面的示例程序给当前的进程设定Capability,最后我们清除掉所设置的Capability,源代码如下:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/capability.h>

extern int errno;

void whoami(void) {
    printf("uid=%i euid=%d gid=%i\n", getuid(), geteuid(), getgid());
}

void list_caps() {
    // cap_get_proc() allocates a capability state in working stroage, sets
    // its state to taht of the calling process, and returns a pointer to thei newly
    // create capability state.
    cap_t caps = cap_get_proc();
    ssize_t    y = 0;

    printf("The process %d was give capabilities %s\n", 
        (int)getpid(), cap_to_text(caps, &y));

    fflush(0);

    // free the releaseable memory
    if (cap_free(caps) == -1) {
        perror("cap_free()");
    }
}

int main(int argc, char **argv) {
    int stat;
    whoami();

    stat = setuid(geteuid());
    pid_t   parent_pid = getpid();

    if (!parent_pid) {
        perror("parent_pid == 0");
        return 1;
    }

    // cap_init() creates a capability state in working storage and returns
    // a pointer to the capability state. the initial value of all flags
    // are cleared.
    cap_t caps = cap_init();

    // CAP_IS_SUPPORTED(cap_value_t cap) evaluates to true if the system supports the specified capability cap.
    // If the system does not supports the specified capability, the function returns 0.
    // this macro works by testing for an error condition with cap_get_bound()
    if (!CAP_IS_SUPPORTED(CAP_NET_RAW)) {
        perror("do not support CAP_NET_RAW");
        return 1;
    }

    cap_value_t    cap_list[5] =
         {CAP_NET_RAW, CAP_NET_BIND_SERVICE, CAP_SETUID, CAP_SETGID, CAP_SETPCAP};
    unsigned num_caps = 5;
    cap_set_flag(caps, CAP_EFFECTIVE, num_caps, cap_list, CAP_SET);
    cap_set_flag(caps, CAP_INHERITABLE, num_caps, cap_list, CAP_SET);
    cap_set_flag(caps, CAP_PERMITTED, num_caps, cap_list, CAP_SET);

    if (cap_set_proc(caps) == -1) {
        perror("cap_set_proc()");
        return EXIT_FAILURE;
    }
    list_caps();

    printf("dropping caps\n");
    cap_clear(caps);
    if (cap_set_proc(caps) == -1) {
        perror("cap_set_proc()");
        return EXIT_FAILURE;
    }
    list_caps();

    if (cap_free(caps) == -1) {
        perror("cap_free()");
        return EXIT_FAILURE;
    }

    return 0;

}

编译运行如下:

# gcc capsettest.c -o capsettest -lcap
# ./capsettest 
uid=0 euid=0 gid=0
The process 21428 was give capabilities = cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw+eip
dropping caps
The process 21428 was give capabilities =
  • 我们对该进程增加了5种能力,随后又清除了所有能力。
  • 首先通过cap_init()初始化存放cap能力值的状态,随后通过cap_set_flag函数的调用,将三种位图的能力设置给了变量caps,再通过cap_set_proc(caps)设定当前进程的能力值,通过cap_get_proc()返回当前进程的能力值,最后通过cap_free(caps)释放能力值。
  • cap_set_flag函数的原型是
int cap_set_flag(cap_t cap_p, cap_flag_t flag, int ncap,const cap_value_t *caps, cap_flag_value_t value);
我们这里的调用语句是:cap_set_flag(caps, CAP_PERMITTED, num_caps, capList, CAP_SET);
第一个参数cap_p是存放能力值的变量,是被设定值.这里是caps。
第二个参数flag是是三种能力位图,这里是CAP_PERMITTED。
第三个参数ncap是要设定能力的个数,这里是num_caps,也就是5。
第四个参数*caps是要设定的能力值,这里是capList数组,也就是CAP_NET_RAW, CAP_NET_BIND_SERVICE , CAP_SETUID, CAP_SETGID,CAP_SETPCAP。
第五个参数value是决定要设定还是清除,这里是CAP_SET。
  • cap_set_proc函数的原型是
int cap_set_proc(cap_t cap_p);
cap_set_proc函数通过cap_p中的能力值设定给当前的进程。
  • cap_get_proc函数的原型是
cap_t cap_get_proc(void);
cap_get_proc函数返回当前进程的能力值给cap变量。
  • cap_free函数的原型是
cap_free函数清理/释放cap变量。
  • 如果我们fork()了子进程,那么子进程继承父进程的所有能力。
  • 不能单独设定CAP_EFFECTIVE,CAP_INHERITABLE位图,必须要和CAP_PERMITTED联用,且CAP_PERMITTED一定要是其它两个位图的超集。
  • 如果两次调用cap_set_proc函数,第二次调用的值力值不能少于或多于第一次调用,如第一次我们授权chown,setuid能力,第二次只能是chown,setuid不能是其它的能力值。
  • 普通用户不能给进程设定能力。

通过capget和capset来获取和设定进程的Capability

下面的程序通过capget函数来获取当前进程的Capability。代码如下:

#include <stdlib.h>
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/capability.h>
#include <errno.h>


int main()
{
    struct __user_cap_header_struct cap_header_data;
    cap_user_header_t cap_header = &cap_header_data;

    struct __user_cap_data_struct cap_data_data;
    cap_user_data_t cap_data = &cap_data_data;

    cap_header->pid = getpid();
    cap_header->version = _LINUX_CAPABILITY_VERSION_3;

    if (capget(cap_header, cap_data) < 0) {
        perror("FAILED capget()");
        exit(1);
    }

    printf("Cap data 0x%x, 0x%x, 0x%x\n", cap_data->effective, cap_data->permitted, cap_data->inheritable);
    return 0;
}

运行如下:

# gcc -o capget capget.c 
# root用户
# ./capget 
Cap data 0xffffffff, 0xffffffff, 0x0
# 非root用户
$ ./capget 
Cap data 0x0, 0x0, 0x0

这说明了默认情况下,root运行的程序什么权限都有,而普通用户则什么权限都没有。

posted @ 2021-07-20 20:05  bonelee  阅读(444)  评论(0编辑  收藏  举报