IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> linux 中普通用户能够执行 ping 命令的机关 -> 正文阅读

[系统运维]linux 中普通用户能够执行 ping 命令的机关

这两天在学习 Linux capabilities 权限相关内容,无意中发现 ping 命令原来需要一个特殊的 capability 权限才能够正常使用,root 用户当然可以 bypass 这个权限,然而普通用户却不能直接获取到这个权限,这意味着普通用户不能使用 ping 命令来发送 icmp 请求。

可是在主流的发行版中并没有这个限定,普通用户能够正常使用 ping,这背后着实有些机关,本文将探讨其背后的原理。

man ping 得到的信息

man 一下,获取到如下信息:

SECURITY
       ping requires CAP_NET_RAW capability to be executed 1) if the program is used for non-echo queries (See -N option), or 2) if kernel does not support non-raw ICMP
       sockets, or 3) if the user is not allowed to create an ICMP echo socket. The program may be used as set-uid root
.................................................................
AVAILABILITY
       ping is part of iputils package.

如上信息表明,在下面几种场景中 ping 命令需要 CAP_NET_RAW 权限来执行:

  1. ping 命令被用于非 echo 请求
  2. 内核不支持非原生 ICMP 套接字
  3. 用户不能创建一个 ICMP echo 套接字

为了支持如上场景,可以给 ping 命令添加 suid root 权限,这样普通用户在执行 ping 命令时就会拥有与 root 相同的权限,就能够正常使用了。

写到这里好像已经破案了,但我查看 debian11 中 ping 命令的权限却发现并没有 suid 位的设定,相关内容如下:

[longyu@debian:07:45:02] tmp $ ls -lh /usr/bin/ping
-rwxr-xr-x 1 root root 76K Feb  3  2021 /usr/bin/ping

可以看到,ping 命令并没有设定 suid 位,此时应该不能正常使用 ping,可事实证明普通用户确实能够正常使用,看来这里有些机关。

Linux capabilities 与 CAP_NET_RAW 权限

如果你研究过 Linux capabilities,可能马上能够 get 到其中的机关。对于小白来说,可以先执行如下命令查看 ping 命令的 capabilities 权限:

[longyu@debian:21:51:13] linux-git $ sudo getcap /bin/ping
[sudo] password for longyu: 
/bin/ping cap_net_raw=ep

getcap 命令用于获取一个文件的 Linux capabilities 属性,上面的输出表明 ping 命令具有 cap_net_raw 权限,这样当普通用户执行 ping 命令时,在 execve 时就能够获取到 CAP_NET_RAW 权限,就能够正常使用 ping 命令。

那这个权限又是谁添加的呢?

debian11 iputils 安装包的配置过程

ping 命令属于 iputils 安装包,执行 sudo apt-get source iputils 下载安装包源码,然后查看 iputils-20210202/debian/iputils-ping.postinst 文件,此文件为 iputils 包部署 ping 命令后执行的配置操作。

其中设置 ping 命令权限的操作代码如下:

if [ "$1" = configure ]; then
    # If we have setcap installed, try setting cap_net_raw+ep,
    # which allows us to install our binaries without the setuid
    # bit.
    if command -v setcap > /dev/null; then                                                                                                                                   
        if setcap cap_net_raw+ep $PROGRAM; then
            chmod u-s $PROGRAM
        else
            echo "Setcap failed on $PROGRAM, falling back to setuid" >&2 
            chmod u+s $PROGRAM
        fi
    else
        echo "Setcap is not installed, falling back to setuid" >&2 
        chmod u+s $PROGRAM
    fi  
fi

当系统中安装了 setcap 命令时,此脚本优先使用 setcap 命令给 ping 命令添加 cap_net_raw 权限,添加成功则去掉 suid 位,添加失败、setcap 命令未安装则添加 suid 位。

好了,机关到此揭晓!其实是发行版在安装 ping 命令时单独给 ping 命令添加了需要的权限。

为什么要使用 setcap 单独给 ping 命令添加特定权限?

使用传统的 suid root 权限也能够实现普通用户使用 ping 的功能,可是这样的实现并不安全。按照最小权限的原则,普通用户要执行 ping 命令只需要添加 CAP_NET_RAW 权限,不需要其它的特殊权限,而 suid 这种方式却会拥有与 root 相同的权限执行程序,安全性没有保障,于是现在的主流发行版基本都优先使用 setcap 来给 ping 命令单独添加 CAP_NET_RAW 权限。

去掉 CAP_NET_RAW 权限后普通用户执行 ping 命令的输出

[longyu@debian:08:09:28] tmp $ sudo setcap cap_net_raw-ep /usr/bin/ping 
[longyu@debian:08:09:46] tmp $ ping www.baidu.com
ping: socket: Operation not permitted
[longyu@debian:08:09:52] tmp $ strace ping www.baidu.com 2>&1 | grep socket
socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP) = -1 EACCES (Permission denied)
socket(AF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM (Operation not permitted)
socket(AF_INET6, SOCK_DGRAM, IPPROTO_ICMPV6) = -1 EACCES (Permission denied)
socket(AF_INET6, SOCK_RAW, IPPROTO_ICMPV6) = -1 EPERM (Operation not permitted)
write(2, "socket", 6socket)                   = 6

当使用 setcap 去掉 ping 命令的 CAP_NET_RAW 权限后,普通用户无法正常使用 ping 命令,使用时会报 socket: Operation not permitted 的错误信息,使用 strace 跟踪能够看到在创建 ICMP 协议族 socket 套接字的时候因为没有权限而失败,这个权限就是 CAP_NET_RAW 权限。

最后不要忘记在测试环境中将权限还原,可以执行 sudo setcap cap_net_raw+ep /usr/bin/ping 命令。

参考链接

https://k3a.me/linux-capabilities-in-a-nutshell/

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-08-19 19:40:15  更:2022-08-19 19:42:59 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 18:59:31-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计