「ケイパビリティ」の版間の差分
Kusanaginoturugi (トーク | 投稿記録) (→実装: リンクを修正) |
Kusanaginoturugi (トーク | 投稿記録) (→参照: update TranslationStatus.) |
||
(同じ利用者による、間の7版が非表示) | |||
14行目: | 14行目: | ||
}} |
}} |
||
− | {{hc|$ getfattr - |
+ | {{hc|1=$ getfattr --dump --match="^security\\." /usr/bin/fping|2= |
# file: usr/bin/fping |
# file: usr/bin/fping |
||
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA= |
security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA= |
||
}} |
}} |
||
− | + | 一部のプログラムは拡張属性を自動的にコピーしますが、他のプログラムでは特別なフラグが必要です。両方のクラスの例については、[[拡張属性# 拡張属性を保持する]]を参照してください。 |
|
− | Arch ではケイパビリティはパッケージ |
+ | Arch では、ケイパビリティは [[PKGBUILD#インストール|パッケージインストールスクリプト]] によって設定されます。例としては [https://gitlab.archlinux.org/archlinux/packaging/packages/fping/-/blob/main/fping.install fping.install] が挙げられます。 |
== 管理とメンテナンス == |
== 管理とメンテナンス == |
||
− | パッケージが過度に強力なケイパビリティを持っている場合はバグと考えられます。なので、ここに記載するのではなくバグとして報告してください。Arch は [[セキュリティ#強制アクセス制御|MAC/RBAC]] システムをサポートしていないため、root アクセスと本質的に等価なケイパビリティ ({{ic|CAP_SYS_ADMIN}}) や root アクセスを容易にするケイパビリティ ({{ic|CAP_DAC_OVERRIDE}}) はバグではありません。 |
+ | パッケージが過度に強力なケイパビリティを持っている場合はバグと考えられます。なので、ここに記載するのではなくバグとして報告してください。Arch は [[セキュリティ#強制アクセス制御|MAC]]/[[w:Role-based access control|RBAC]] システムをサポートしていないため、root アクセスと本質的に等価なケイパビリティ ({{ic|CAP_SYS_ADMIN}}) や root アクセスを容易にするケイパビリティ ({{ic|CAP_DAC_OVERRIDE}}) はバグではありません。 |
{{Warning|1=特権昇格が可能になるケイパビリティは多数あります。詳しい例や説明は Brad Spengler による [https://forums.grsecurity.net/viewtopic.php?f=7&t=2522&sid=c6fbcf62fd5d3472562540a7e608ce4e#p10271 False Boundaries and Arbitrary Code Execution] を参照してください。}} |
{{Warning|1=特権昇格が可能になるケイパビリティは多数あります。詳しい例や説明は Brad Spengler による [https://forums.grsecurity.net/viewtopic.php?f=7&t=2522&sid=c6fbcf62fd5d3472562540a7e608ce4e#p10271 False Boundaries and Arbitrary Code Execution] を参照してください。}} |
||
33行目: | 33行目: | ||
以下のパッケージには setuid 属性が設定されたファイルがありませんが、実行するには root 権限を必要とします。ケイパビリティを有効にすることで、権限昇格を行わなくても通常ユーザーでプログラムを使うことが可能になります。 |
以下のパッケージには setuid 属性が設定されたファイルがありませんが、実行するには root 権限を必要とします。ケイパビリティを有効にすることで、権限昇格を行わなくても通常ユーザーでプログラムを使うことが可能になります。 |
||
− | ケイパビリティの |
+ | ケイパビリティの後ろにある {{ic|+ep}} は、ケイパビリティセットの ''effective'' と ''permitted'' を示しています。詳細は {{man|7|capabilities|File capabilities}} を参照してください。 |
+ | {| class=wikitable |
||
− | === beep === |
||
+ | ! プログラム || コマンド(root で実行) |
||
− | # setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep |
||
+ | |||
− | |||
+ | |- |
||
− | === chvt === |
||
+ | |||
− | |||
− | + | | [[Beep]] || {{ic|setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep}} |
|
+ | |||
− | |||
+ | |- |
||
− | === iftop === |
||
+ | |||
− | |||
− | + | | {{man|1|chvt}} || {{ic|setcap cap_dac_read_search,cap_sys_tty_config+ep /usr/bin/chvt}} |
|
+ | |||
− | |||
+ | |- |
||
− | === mii-tool === |
||
+ | |||
− | |||
− | + | | {{man|8|iftop}} || {{ic|setcap cap_net_raw+ep /usr/bin/iftop}} |
|
+ | |||
− | |||
+ | |- |
||
− | === mtr === |
||
+ | |||
− | |||
− | + | | {{man|8|mii-tool}} || {{ic|setcap cap_net_admin+ep /usr/bin/mii-tool}} |
|
+ | |||
− | |||
+ | |- |
||
− | === nethogs === |
||
+ | |||
− | |||
− | + | | {{man|8|mtr}} || {{ic|setcap cap_net_raw+ep /usr/bin/mtr-packet}} |
|
+ | |||
− | |||
+ | |- |
||
− | === wavemon === |
||
+ | |||
− | |||
− | + | | {{man|8|nethogs}} || {{ic|setcap cap_net_admin,cap_net_raw+ep /usr/bin/nethogs}} |
|
+ | |||
+ | |- |
||
+ | |||
+ | | {{man|1|wavemon}} || {{ic|setcap cap_net_admin+ep /usr/bin/wavemon}} |
||
+ | |||
+ | |} |
||
== 便利なコマンド == |
== 便利なコマンド == |
||
75行目: | 81行目: | ||
== ケイパビリティを一時的に付与してプログラムを実行する == |
== ケイパビリティを一時的に付与してプログラムを実行する == |
||
− | {{man|1|capsh}} を使 |
+ | {{man|1|capsh}} を使用すると、バイナリの拡張属性を変更せずに、特定のケイパビリティを持つプログラムを実行することが可能です。以下の例では、{{ic|CAP_SYS_PTRACE}} ケイパビリティを使用して [[GDB]] を使用してプロセスにアタッチする方法を示しています: |
− | 以下の例では、{{ic|CAP_SYS_PTRACE}} ケイパビリティを使って、[[GDB]] を使ってプロセスにアタッチする方法を示しています: |
||
$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_sys_ptrace+eip" --keep=1 --user="$USER" --addamb="cap_sys_ptrace" --shell=/usr/bin/gdb -- -p <pid> |
$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_sys_ptrace+eip" --keep=1 --user="$USER" --addamb="cap_sys_ptrace" --shell=/usr/bin/gdb -- -p <pid> |
||
+ | 上記の {{ic|sudo}} に渡される {{ic|-E}} は、現在のユーザーのログイン環境、たとえば {{ic|PATH}} 変数などを子プロセスに引き継ぐために使用されます。 |
||
− | [[netcat]] を使って低いポートにバインドする例: |
||
+ | |||
+ | 以下は、[[netcat]] を使用して低いポート、今回は 123 にバインドする例です: |
||
$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_net_bind_service+eip" --keep=1 --user="$USER" --addamb="cap_net_bind_service" --shell=/usr/bin/nc -- -lvtn 123 |
$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_net_bind_service+eip" --keep=1 --user="$USER" --addamb="cap_net_bind_service" --shell=/usr/bin/nc -- -lvtn 123 |
||
Listening on 0.0.0.0 123 |
Listening on 0.0.0.0 123 |
||
+ | |||
+ | 上記の例はどちらも実際には説明目的のものであり、ほとんどのシステムでは、他のユーザーが所有するプロセスにデバッガーをアタッチするか、root ユーザーとしてポート 1024 未満を開くことが可能です。それでも、{{ic|capsh}} を使用することはある程度のセキュリティメリットを提供します。なぜなら、{{ic|capsh --user}} は指定されたユーザーとして、通常のカーネルケイパビリティ(つまり、制限)を持って実行されるためです。 |
||
+ | |||
+ | == systemd == |
||
+ | |||
+ | {{ic|AmbientCapabilities}} と {{ic|CapabilityBoundingSet}} を使用することで、systemd ユニットにケイパビリティを割り当てることが可能です。これは、バイナリにケイパビリティを設定するよりも安全です。詳細は {{man|5|systemd.exec}} を参照してください。 |
||
== 参照 == |
== 参照 == |
||
91行目: | 104行目: | ||
* [https://docs.kernel.org/userspace-api/seccomp_filter.html Seccomp BPF (SECure COMPuting with filters)] |
* [https://docs.kernel.org/userspace-api/seccomp_filter.html Seccomp BPF (SECure COMPuting with filters)] |
||
− | {{TranslationStatus|Capabilities| |
+ | {{TranslationStatus|Capabilities|2024-08-21|808245}} |
2024年8月21日 (水) 18:44時点における最新版
ケイパビリティ (POSIX 1003.1e, capabilities(7)) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者は、システムバイナリの強力な setuid 属性を、より最低限のケイパビリティのセットに置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば CAP_NET_RAW
は fping バイナリで使われています。これによって (setuid と同じように) 通常ユーザーで fping
を実行することができ、それと同時に、fping
に脆弱性があった場合のセキュリティ上の影響を緩和することができます。
実装
Linux ではケイパビリティは拡張属性 (xattr(7)) の security 名前空間を使って実装されています。拡張属性は Ext2、Ext3、Ext4、Btrfs、JFS、XFS、そして Reiserfs など全ての主要な Linux ファイルシステムでサポートされています。以下の例では getcap
を使って fping のケイパビリティを出力し、さらに getfattr
を使ってエンコードされた同じデータを出力しています:
$ getcap /usr/bin/fping
/usr/bin/fping cap_net_raw=ep
$ getfattr --dump --match="^security\\." /usr/bin/fping
# file: usr/bin/fping security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
一部のプログラムは拡張属性を自動的にコピーしますが、他のプログラムでは特別なフラグが必要です。両方のクラスの例については、拡張属性# 拡張属性を保持するを参照してください。
Arch では、ケイパビリティは パッケージインストールスクリプト によって設定されます。例としては fping.install が挙げられます。
管理とメンテナンス
パッケージが過度に強力なケイパビリティを持っている場合はバグと考えられます。なので、ここに記載するのではなくバグとして報告してください。Arch は MAC/RBAC システムをサポートしていないため、root アクセスと本質的に等価なケイパビリティ (CAP_SYS_ADMIN
) や root アクセスを容易にするケイパビリティ (CAP_DAC_OVERRIDE
) はバグではありません。
ケイパビリティを利用できる他のプログラム
以下のパッケージには setuid 属性が設定されたファイルがありませんが、実行するには root 権限を必要とします。ケイパビリティを有効にすることで、権限昇格を行わなくても通常ユーザーでプログラムを使うことが可能になります。
ケイパビリティの後ろにある +ep
は、ケイパビリティセットの effective と permitted を示しています。詳細は capabilities(7) § File capabilities を参照してください。
プログラム | コマンド(root で実行) |
---|---|
Beep | setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep
|
chvt(1) | setcap cap_dac_read_search,cap_sys_tty_config+ep /usr/bin/chvt
|
iftop(8) | setcap cap_net_raw+ep /usr/bin/iftop
|
mii-tool(8) | setcap cap_net_admin+ep /usr/bin/mii-tool
|
mtr(8) | setcap cap_net_raw+ep /usr/bin/mtr-packet
|
nethogs(8) | setcap cap_net_admin,cap_net_raw+ep /usr/bin/nethogs
|
wavemon(1) | setcap cap_net_admin+ep /usr/bin/wavemon
|
便利なコマンド
setuid-root ファイルを検索:
$ find /usr/bin /usr/lib -perm /4000 -user root
setgid-root ファイルを検索:
$ find /usr/bin /usr/lib -perm /2000 -group root
ケイパビリティを一時的に付与してプログラムを実行する
capsh(1) を使用すると、バイナリの拡張属性を変更せずに、特定のケイパビリティを持つプログラムを実行することが可能です。以下の例では、CAP_SYS_PTRACE
ケイパビリティを使用して GDB を使用してプロセスにアタッチする方法を示しています:
$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_sys_ptrace+eip" --keep=1 --user="$USER" --addamb="cap_sys_ptrace" --shell=/usr/bin/gdb -- -p <pid>
上記の sudo
に渡される -E
は、現在のユーザーのログイン環境、たとえば PATH
変数などを子プロセスに引き継ぐために使用されます。
以下は、netcat を使用して低いポート、今回は 123 にバインドする例です:
$ sudo -E capsh --caps="cap_setpcap,cap_setuid,cap_setgid+ep cap_net_bind_service+eip" --keep=1 --user="$USER" --addamb="cap_net_bind_service" --shell=/usr/bin/nc -- -lvtn 123 Listening on 0.0.0.0 123
上記の例はどちらも実際には説明目的のものであり、ほとんどのシステムでは、他のユーザーが所有するプロセスにデバッガーをアタッチするか、root ユーザーとしてポート 1024 未満を開くことが可能です。それでも、capsh
を使用することはある程度のセキュリティメリットを提供します。なぜなら、capsh --user
は指定されたユーザーとして、通常のカーネルケイパビリティ(つまり、制限)を持って実行されるためです。
systemd
AmbientCapabilities
と CapabilityBoundingSet
を使用することで、systemd ユニットにケイパビリティを割り当てることが可能です。これは、バイナリにケイパビリティを設定するよりも安全です。詳細は systemd.exec(5) を参照してください。