|
这两天在学习 Linux capabilities 权限相关内容,无意中发现 ping 命令原来需要一个特殊的 capability 权限才能够正常使用,root 用户当然可以 bypass 这个权限,然而普通用户却不能直接获取到这个权限,这意味着普通用户不能使用 ping 命令来发送 icmp 请求。
可是在主流的发行版中并没有这个限定,普通用户能够正常使用 ping,这背后着实有些机关,本文将探讨其背后的原理。
man ping 得到的信息
man 一下,获取到如下信息:
SECURITY
ping requires CAP_NET_RAW capability to be executed 1) if the program is used for non-echo queries (See -N option), or 2) if kernel does not support non-raw ICMP
sockets, or 3) if the user is not allowed to create an ICMP echo socket. The program may be used as set-uid root
.................................................................
AVAILABILITY
ping is part of iputils package.
如上信息表明,在下面几种场景中 ping 命令需要 CAP_NET_RAW 权限来执行:
- ping 命令被用于非 echo 请求
- 内核不支持非原生 ICMP 套接字
- 用户不能创建一个 ICMP echo 套接字
为了支持如上场景,可以给 ping 命令添加 suid root 权限,这样普通用户在执行 ping 命令时就会拥有与 root 相同的权限,就能够正常使用了。
写到这里好像已经破案了,但我查看 debian11 中 ping 命令的权限却发现并没有 suid 位的设定,相关内容如下:
[longyu@debian:07:45:02] tmp $ ls -lh /usr/bin/ping
-rwxr-xr-x 1 root root 76K Feb 3 2021 /usr/bin/ping
可以看到,ping 命令并没有设定 suid 位,此时应该不能正常使用 ping,可事实证明普通用户确实能够正常使用,看来这里有些机关。
Linux capabilities 与 CAP_NET_RAW 权限
如果你研究过 Linux capabilities,可能马上能够 get 到其中的机关。对于小白来说,可以先执行如下命令查看 ping 命令的 capabilities 权限:
[longyu@debian:21:51:13] linux-git $ sudo getcap /bin/ping
[sudo] password for longyu:
/bin/ping cap_net_raw=ep
getcap 命令用于获取一个文件的 Linux capabilities 属性,上面的输出表明 ping 命令具有 cap_net_raw 权限,这样当普通用户执行 ping 命令时,在 execve 时就能够获取到 CAP_NET_RAW 权限,就能够正常使用 ping 命令。
那这个权限又是谁添加的呢?
debian11 iputils 安装包的配置过程
ping 命令属于 iputils 安装包,执行 sudo apt-get source iputils 下载安装包源码,然后查看 iputils-20210202/debian/iputils-ping.postinst 文件,此文件为 iputils 包部署 ping 命令后执行的配置操作。
其中设置 ping 命令权限的操作代码如下:
if [ "$1" = configure ]; then
if command -v setcap > /dev/null; then
if setcap cap_net_raw+ep $PROGRAM; then
chmod u-s $PROGRAM
else
echo "Setcap failed on $PROGRAM, falling back to setuid" >&2
chmod u+s $PROGRAM
fi
else
echo "Setcap is not installed, falling back to setuid" >&2
chmod u+s $PROGRAM
fi
fi
当系统中安装了 setcap 命令时,此脚本优先使用 setcap 命令给 ping 命令添加 cap_net_raw 权限,添加成功则去掉 suid 位,添加失败、setcap 命令未安装则添加 suid 位。
好了,机关到此揭晓!其实是发行版在安装 ping 命令时单独给 ping 命令添加了需要的权限。
为什么要使用 setcap 单独给 ping 命令添加特定权限?
使用传统的 suid root 权限也能够实现普通用户使用 ping 的功能,可是这样的实现并不安全。按照最小权限的原则,普通用户要执行 ping 命令只需要添加 CAP_NET_RAW 权限,不需要其它的特殊权限,而 suid 这种方式却会拥有与 root 相同的权限执行程序,安全性没有保障,于是现在的主流发行版基本都优先使用 setcap 来给 ping 命令单独添加 CAP_NET_RAW 权限。
去掉 CAP_NET_RAW 权限后普通用户执行 ping 命令的输出
[longyu@debian:08:09:28] tmp $ sudo setcap cap_net_raw-ep /usr/bin/ping
[longyu@debian:08:09:46] tmp $ ping www.baidu.com
ping: socket: Operation not permitted
[longyu@debian:08:09:52] tmp $ strace ping www.baidu.com 2>&1 | grep socket
socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP) = -1 EACCES (Permission denied)
socket(AF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)
socket(AF_INET6, SOCK_DGRAM, IPPROTO_ICMPV6) = -1 EACCES (Permission denied)
socket(AF_INET6, SOCK_RAW, IPPROTO_ICMPV6) = -1 EPERM (Operation not permitted)
write(2, "socket", 6socket) = 6
当使用 setcap 去掉 ping 命令的 CAP_NET_RAW 权限后,普通用户无法正常使用 ping 命令,使用时会报 socket: Operation not permitted 的错误信息,使用 strace 跟踪能够看到在创建 ICMP 协议族 socket 套接字的时候因为没有权限而失败,这个权限就是 CAP_NET_RAW 权限。
最后不要忘记在测试环境中将权限还原,可以执行 sudo setcap cap_net_raw+ep /usr/bin/ping 命令。
参考链接
https://k3a.me/linux-capabilities-in-a-nutshell/
|