「ケイパビリティ」の版間の差分

削除された内容追加された内容

インライン

2024年8月21日 (水) 18:44時点における最新版

ケイパビリティ (POSIX 1003.1e, capabilities(7)) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者は、システムバイナリの強力な setuid 属性を、より最低限のケイパビリティのセットに置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば CAP_NET_RAW は fping バイナリで使われています。これによって (setuid と同じように) 通常ユーザーで fping を実行することができ、それと同時に、fping に脆弱性があった場合のセキュリティ上の影響を緩和することができます。

実装

Linux ではケイパビリティは拡張属性 (xattr(7)) の security 名前空間を使って実装されています。拡張属性は Ext2、Ext3、Ext4、Btrfs、JFS、XFS、そして Reiserfs など全ての主要な Linux ファイルシステムでサポートされています。以下の例では getcap を使って fping のケイパビリティを出力し、さらに getfattr を使ってエンコードされた同じデータを出力しています:

$ getcap /usr/bin/fping

/usr/bin/fping cap_net_raw=ep

$ getfattr --dump --match="^security\\." /usr/bin/fping

# file: usr/bin/fping
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=

一部のプログラムは拡張属性を自動的にコピーしますが、他のプログラムでは特別なフラグが必要です。両方のクラスの例については、拡張属性# 拡張属性を保持するを参照してください。

Arch では、ケイパビリティはパッケージインストールスクリプトによって設定されます。例としては fping.install が挙げられます。

管理とメンテナンス

パッケージが過度に強力なケイパビリティを持っている場合はバグと考えられます。なので、ここに記載するのではなくバグとして報告してください。Arch は MAC/RBAC システムをサポートしていないため、root アクセスと本質的に等価なケイパビリティ (CAP_SYS_ADMIN) や root アクセスを容易にするケイパビリティ (CAP_DAC_OVERRIDE) はバグではありません。

警告特権昇格が可能になるケイパビリティは多数あります。詳しい例や説明は Brad Spengler による False Boundaries and Arbitrary Code Execution を参照してください。

ケイパビリティを利用できる他のプログラム

以下のパッケージには setuid 属性が設定されたファイルがありませんが、実行するには root 権限を必要とします。ケイパビリティを有効にすることで、権限昇格を行わなくても通常ユーザーでプログラムを使うことが可能になります。

ケイパビリティの後ろにある +ep は、ケイパビリティセットの effective と permitted を示しています。詳細は capabilities(7) § File capabilities を参照してください。

プログラム	コマンド（root で実行）
Beep	`setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep`
chvt(1)	`setcap cap_dac_read_search,cap_sys_tty_config+ep /usr/bin/chvt`
iftop(8)	`setcap cap_net_raw+ep /usr/bin/iftop`
mii-tool(8)	`setcap cap_net_admin+ep /usr/bin/mii-tool`
mtr(8)	`setcap cap_net_raw+ep /usr/bin/mtr-packet`
nethogs(8)	`setcap cap_net_admin,cap_net_raw+ep /usr/bin/nethogs`
wavemon(1)	`setcap cap_net_admin+ep /usr/bin/wavemon`

便利なコマンド

setuid-root ファイルを検索:

$ find /usr/bin /usr/lib -perm /4000 -user root

setgid-root ファイルを検索:

$ find /usr/bin /usr/lib -perm /2000 -group root

ケイパビリティを一時的に付与してプログラムを実行する

capsh(1) を使用すると、バイナリの拡張属性を変更せずに、特定のケイパビリティを持つプログラムを実行することが可能です。以下の例では、CAP_SYS_PTRACE ケイパビリティを使用して GDB を使用してプロセスにアタッチする方法を示しています：

$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_sys_ptrace+eip" --keep=1 --user="$USER" --addamb="cap_sys_ptrace" --shell=/usr/bin/gdb -- -p <pid>

上記の sudo に渡される -E は、現在のユーザーのログイン環境、たとえば PATH 変数などを子プロセスに引き継ぐために使用されます。

以下は、netcat を使用して低いポート、今回は 123 にバインドする例です：

$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_net_bind_service+eip" --keep=1 --user="$USER" --addamb="cap_net_bind_service" --shell=/usr/bin/nc -- -lvtn 123
Listening on 0.0.0.0 123

上記の例はどちらも実際には説明目的のものであり、ほとんどのシステムでは、他のユーザーが所有するプロセスにデバッガーをアタッチするか、root ユーザーとしてポート 1024 未満を開くことが可能です。それでも、capsh を使用することはある程度のセキュリティメリットを提供します。なぜなら、capsh --user は指定されたユーザーとして、通常のカーネルケイパビリティ（つまり、制限）を持って実行されるためです。

systemd

AmbientCapabilities と CapabilityBoundingSet を使用することで、systemd ユニットにケイパビリティを割り当てることが可能です。これは、バイナリにケイパビリティを設定するよりも安全です。詳細は systemd.exec(5) を参照してください。

参照

Man ページ: capabilities(7)、setcap(8)、getcap(8)
Wikibooks:Grsecurity/Appendix/Capability Names and Descriptions
Seccomp BPF (SECure COMPuting with filters)

翻訳ステータス: このページは en:Capabilities の翻訳バージョンです。最後の翻訳日は 2024-08-21 です。もし英語版に変更があれば、翻訳の同期を手伝うことができます。

@@ 1行目: / 1行目: @@
 [[Category:セキュリティ]]
 [[en:Capabilities]]
+[[pt:Capabilities]]
+[[ru:Capabilities]]
 [[zh-hans:Capabilities]]
-'''ケイパビリティ''' (POSIX 1003.1e, {{man|7|capabilities}}) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者はシステムバイナリの強力な [[wikipedia:ja:Setuid|setuid]] 属性を最小セットのケイパビリティで置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば CAP_NET_RAW は {{pkg|iputils}} に含まれている {{ic|ping}} バイナリで使われています。これによって ('''setuid''' と同じように) 通常ユーザーで {{ic|ping}} を実行することができ、同時に、{{ic|ping}} の脆弱性によるセキュリティ上の影響を緩和することが可能となっています。
+ケイパビリティ (POSIX 1003.1e, {{man|7|capabilities}}) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者は、システムバイナリの強力な [[wikipedia:ja:Setuid|setuid]] 属性を、より最低限のケイパビリティのセットに置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば {{ic|CAP_NET_RAW}} は {{Pkg|fping}} バイナリで使われています。これによって ('''setuid''' と同じように) 通常ユーザーで {{ic|fping}} を実行することができ、それと同時に、{{ic|fping}} に脆弱性があった場合のセキュリティ上の影響を緩和することができます。
-== 要件 ==
-''setcap'' ユーティリティを使って、拡張属性であるファイルケイパビリティを設定するには {{Pkg|libcap}} を[[pacman|インストール]]する必要があります。
 == 実装 ==
-Linux ではケイパビリティは ''security'' 名前空間の''[[ファイルのパーミッションと属性#拡張属性|拡張属性]]'' ({{man|7|xattr}}) を使って実装されています。拡張属性は Ext2, Ext3, Ext4, Btrfs, JFS, XFS, Reiserfs など全ての主要な Linux [[ファイルシステム]]でサポートされています。以下の例では {{ic|getcap}} を使って ping のケイパビリティを出力してから、{{ic|getfattr}} を使ってエンコードされた同じデータを出力しています:
+Linux ではケイパビリティは[[拡張属性]] ({{man|7|xattr}}) の ''security'' 名前空間を使って実装されています。拡張属性は Ext2、[[Ext3]]、[[Ext4]]、[[Btrfs]]、[[JFS]]、[[XFS]]、そして Reiserfs など全ての主要な Linux [[ファイルシステム]]でサポートされています。以下の例では {{ic|getcap}} を使って fping のケイパビリティを出力し、さらに {{ic|getfattr}} を使ってエンコードされた同じデータを出力しています:
-{{hc|$ getcap /usr/bin/ping|2=
+{{hc|$ getcap /usr/bin/fping|2=
-/usr/bin/ping = cap_net_raw+ep
+/usr/bin/fping cap_net_raw=ep
 }}
-{{hc|$ getfattr -d -m "^security\\." /usr/bin/ping|2=
+{{hc|1=$ getfattr --dump --match="^security\\." /usr/bin/fping|2=
-# file: usr/bin/ping
+# file: usr/bin/fping
 security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
 }}
-{{ic|cp -a}} を使うと拡張属性は自動的にコピーされますが、プログラムによっては特殊なフラグが必要な場合もあります: {{ic|rsync -X}}。
+一部のプログラムは拡張属性を自動的にコピーしますが、他のプログラムでは特別なフラグが必要です。両方のクラスの例については、[[拡張属性# 拡張属性を保持する]]を参照してください。
-ケイパビリティは Arch のパッケージのインストールスクリプトによって設定されます (例: {{ic|iputils.install}})。
+Arch では、ケイパビリティは [[PKGBUILD#インストール|パッケージインストールスクリプト]] によって設定されます。例としては [https://gitlab.archlinux.org/archlinux/packaging/packages/fping/-/blob/main/fping.install fping.install] が挙げられます。
 == 管理とメンテナンス ==
-パッケージのケイパビリティが過度に権限を与えている場合はバグと考えられます。ここに記載するのではなくバグとして報告してください。root アクセスと同等 ({{ic|CAP_SYS_ADMIN}}) または root アクセスの許可と同等 ({{ic|CAP_DAC_OVERRIDE}}) なケイパビリティはバグではありません。Arch は [[セキュリティ#強制アクセス制御|MAC/RBAC]] システムをサポートしていないためです。
+パッケージが過度に強力なケイパビリティを持っている場合はバグと考えられます。なので、ここに記載するのではなくバグとして報告してください。Arch は [[セキュリティ#強制アクセス制御|MAC]]/[[w:Role-based access control|RBAC]] システムをサポートしていないため、root アクセスと本質的に等価なケイパビリティ ({{ic|CAP_SYS_ADMIN}}) や root アクセスを容易にするケイパビリティ ({{ic|CAP_DAC_OVERRIDE}}) はバグではありません。
-{{Warning|特権昇格が可能になるケイパビリティは多数あります。詳しい例や説明は Brad Spengler による [http://forums.grsecurity.net/viewtopic.php?f&#61;7&t&#61;2522&sid&#61;c6fbcf62fd5d3472562540a7e608ce4e#p10271 False Boundaries and Arbitrary Code Execution] を参照してください。}}
+{{Warning|1=特権昇格が可能になるケイパビリティは多数あります。詳しい例や説明は Brad Spengler による [https://forums.grsecurity.net/viewtopic.php?f=7&t=2522&sid=c6fbcf62fd5d3472562540a7e608ce4e#p10271 False Boundaries and Arbitrary Code Execution] を参照してください。}}
 == ケイパビリティを利用できる他のプログラム ==
@@ 35行目: / 33行目: @@
 以下のパッケージには setuid 属性が設定されたファイルがありませんが、実行するには root 権限を必要とします。ケイパビリティを有効にすることで、権限昇格を行わなくても通常ユーザーでプログラムを使うことが可能になります。
+ケイパビリティの後ろにある {{ic|+ep}} は、ケイパビリティセットの ''effective'' と ''permitted'' を示しています。詳細は {{man|7|capabilities|File capabilities}} を参照してください。
-=== beep ===
+{| class=wikitable
- # setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep
+! プログラム || コマンド（root で実行）
-=== chvt ===
+|-
+| [[Beep]] || {{ic|setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep}}
+|-
+| {{man|1|chvt}} || {{ic|setcap cap_dac_read_search,cap_sys_tty_config+ep /usr/bin/chvt}}
+|-
+| {{man|8|iftop}} || {{ic|setcap cap_net_raw+ep /usr/bin/iftop}}
+|-
+| {{man|8|mii-tool}} || {{ic|setcap cap_net_admin+ep /usr/bin/mii-tool}}
+|-
+| {{man|8|mtr}} || {{ic|setcap cap_net_raw+ep /usr/bin/mtr-packet}}
+|-
+| {{man|8|nethogs}} || {{ic|setcap cap_net_admin,cap_net_raw+ep /usr/bin/nethogs}}
+|-
+| {{man|1|wavemon}} || {{ic|setcap cap_net_admin+ep /usr/bin/wavemon}}
+|}
+== 便利なコマンド ==
- # setcap cap_dac_read_search,cap_sys_tty_config+ep /usr/bin/chvt
+setuid-root ファイルを検索:
-=== iftop ===
+ $ find /usr/bin /usr/lib -perm /4000 -user root
- # setcap cap_net_raw+ep /usr/bin/iftop
+setgid-root ファイルを検索:
-=== mii-tool ===
+ $ find /usr/bin /usr/lib -perm /2000 -group root
- # setcap cap_net_admin+ep /usr/bin/mii-tool
+== ケイパビリティを一時的に付与してプログラムを実行する ==
-=== mtr ===
+{{man|1|capsh}} を使用すると、バイナリの拡張属性を変更せずに、特定のケイパビリティを持つプログラムを実行することが可能です。以下の例では、{{ic|CAP_SYS_PTRACE}} ケイパビリティを使用して [[GDB]] を使用してプロセスにアタッチする方法を示しています：
- # setcap cap_net_raw+ep /usr/bin/mtr-packet
+ $ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_sys_ptrace+eip" --keep=1 --user="$USER" --addamb="cap_sys_ptrace" --shell=/usr/bin/gdb -- -p <pid>
-=== nethogs ===
+上記の {{ic|sudo}} に渡される {{ic|-E}} は、現在のユーザーのログイン環境、たとえば {{ic|PATH}} 変数などを子プロセスに引き継ぐために使用されます。
- # setcap cap_net_admin,cap_net_raw+ep /usr/bin/nethogs
+以下は、[[netcat]] を使用して低いポート、今回は 123 にバインドする例です：
-== 便利なコマンド ==
+ $ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_net_bind_service+eip" --keep=1 --user="$USER" --addamb="cap_net_bind_service" --shell=/usr/bin/nc -- -lvtn 123
-setuid-root ファイルを検索:
+ Listening on 0.0.0.0 123
- $ find /usr/bin /usr/lib -perm /4000 -user root
+上記の例はどちらも実際には説明目的のものであり、ほとんどのシステムでは、他のユーザーが所有するプロセスにデバッガーをアタッチするか、root ユーザーとしてポート 1024 未満を開くことが可能です。それでも、{{ic|capsh}} を使用することはある程度のセキュリティメリットを提供します。なぜなら、{{ic|capsh --user}} は指定されたユーザーとして、通常のカーネルケイパビリティ（つまり、制限）を持って実行されるためです。
-setgid-root ファイルを検索:
- $ find /usr/bin /usr/lib -perm /2000 -group root
+== systemd ==
+{{ic|AmbientCapabilities}} と {{ic|CapabilityBoundingSet}} を使用することで、systemd ユニットにケイパビリティを割り当てることが可能です。これは、バイナリにケイパビリティを設定するよりも安全です。詳細は {{man|5|systemd.exec}} を参照してください。
 == 参照 ==
-* Man ページ: {{man|7|capabilities}}, {{man|8|setcap}}, {{man|8|getcap}}
+* Man ページ: {{man|7|capabilities}}、{{man|8|setcap}}、{{man|8|getcap}}
-* [https://en.wikibooks.org/wiki/Grsecurity/Appendix/Capability_Names_and_Descriptions Grsecurity Appendix: Capability Names and Descriptions]
+* [[Wikibooks:Grsecurity/Appendix/Capability Names and Descriptions]]
-* [https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt The Linux Kernel Archives: SECure COMPuting with filters]
+* [https://docs.kernel.org/userspace-api/seccomp_filter.html Seccomp BPF (SECure COMPuting with filters)]
+{{TranslationStatus|Capabilities|2024-08-21|808245}}