setcap用法
转载自:https://feichashao.com/capabilities_basic/
1.背景
安装 Wireshark 的时候,有一步是给 dumpcap 读网卡的权限,使得普通用户也可以使用 Wireshark 进行抓包。
# setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/sbin/dumpcap |
|
那么 setcap 是个啥玩意呢?
从前,要使被普通用户执行的某个程序有特殊权限,一般我们会给这个程序设置suid,于是普通用户执行该程序时就会以root的身份来执行。
比如,/usr/bin/passwd 这个可执行文件就带有suid,普通用户执行它时会以root身份执行,所以 passwd 才能读取并修改 /etc/shadow 文件。
[root@rhel671 ~]# ls -l /usr/bin/passwd -rwsr-xr-x. 1 root root 30768 Feb 17 2012 /usr/bin/passwd [root@rhel671 ~]# ls -l /etc/shadow ----------. 1 root root 945 Sep 11 16:22 /etc/shadow |
可以看到,使用 suid 有一个弊端,那就是以 root 身份执行的程序有了所有特权,这会带来安全风险。
Kernel 从 2.2 版本开始,提供了 Capabilities 功能,它把特权划分成不同单元,可以只授权程序所需的权限,而非所有特权。
2.用 /bin/ping 测试
- 在 RHEL6 中,普通用户能执行 ping 命令是因为 /bin/ping 设置了 suid 。
[root@rhel671 ~]# ls -l /bin/ping -rwsr-xr-x. 1 root root 38200 Dec 11 2014 /bin/ping |
- 将 /bin/ping 的 suid 去除,普通用户则无法执行 ping.
[root@rhel671 ~]# chmod 755 /bin/ping [root@rhel671 ~]# ls -l /bin/ping -rwxr-xr-x. 1 root root 38200 Dec 11 2014 /bin/ping |
[testuser@rhel671 ~]$ ping www.baidu.com ping: icmp open socket: Operation not permitted |
- 在 root 用户下,用 setcap 命令给 /bin/ping 这个可执行文件加上 “cap_net_admin,cap_net_raw+ep” 权限,普通用户即可使用 ping.
[root@rhel671 ~]# setcap 'cap_net_admin,cap_net_raw+ep' /bin/ping [root@rhel671 ~]# getcap /bin/ping /bin/ping = cap_net_admin,cap_net_raw+ep |
[testuser@rhel671 ~]$ ping www.baidu.com PING www.a.shifen.com (119.75.217.109) 56(84) bytes of data. 64 bytes from 119.75.217.109: icmp_seq=1 ttl=47 time=4.08 ms 64 bytes from 119.75.217.109: icmp_seq=2 ttl=47 time=4.13 ms |
3.Extended attributes
在 Linux 中的 Capabilities 是通过 extended attributes 中的 security 命名空间实现的。主流的 Linux 文件系统都支持 Extended attributes,包括 Ext2, Ext3, Ext4, Btrfs, JFS, XFS 和 Reiserfs.
[root@rhel671 ~]# getfattr -d -m "security\\." /bin/ping # file: bin/ping security.capability=0sAQAAAgAwAAAAAAAAAAAAAAAAAAA= |
4.备注
- setcap 一般用于二进制可执行文件。setcap 用于脚本文件时无效(比如以 #!/bin/python 开头的脚本文件)
- CAPABILITIES(7) 文档有较为详尽的说明,推荐阅读。
5.参考文献
https://wiki.archlinux.org/index.php/Capabilities
https://wiki.archlinux.org/index.php/DeveloperWiki:Security#Replacing_setuid_with_capabilities
https://wiki.archlinux.org/index.php/File_permissions_and_attributes#Extended_attributes
http://man7.org/linux/man-pages/man7/capabilities.7.html CAPABILITIES(7)
来源:oschina
链接:https://my.oschina.net/u/4272135/blog/4286047