「ケイパビリティ」の版間の差分
Kusakata.bot (トーク | 投稿記録) 細 (文字列「[[zh-cn:」を「[[zh-hans:」に置換) |
|||
1行目: | 1行目: | ||
[[Category:セキュリティ]] |
[[Category:セキュリティ]] |
||
[[en:Capabilities]] |
[[en:Capabilities]] |
||
− | [[zh- |
+ | [[zh-hans:Capabilities]] |
'''ケイパビリティ''' (POSIX 1003.1e, capabilities(7)) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者はシステムバイナリの強力な [[wikipedia:ja:Setuid|setuid]] 属性を最小セットのケイパビリティで置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば CAP_NET_RAW は {{pkg|iputils}} に含まれている {{ic|ping}} と {{ic|ping6}} バイナリで使われています。これによって ('''setuid''' と同じように) 通常ユーザーで {{ic|ping}} を実行することができ、同時に、{{ic|ping}} の脆弱性によるセキュリティ上の影響を緩和することが可能となっています。 |
'''ケイパビリティ''' (POSIX 1003.1e, capabilities(7)) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者はシステムバイナリの強力な [[wikipedia:ja:Setuid|setuid]] 属性を最小セットのケイパビリティで置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば CAP_NET_RAW は {{pkg|iputils}} に含まれている {{ic|ping}} と {{ic|ping6}} バイナリで使われています。これによって ('''setuid''' と同じように) 通常ユーザーで {{ic|ping}} を実行することができ、同時に、{{ic|ping}} の脆弱性によるセキュリティ上の影響を緩和することが可能となっています。 |
||
2017年2月9日 (木) 21:10時点における版
ケイパビリティ (POSIX 1003.1e, capabilities(7)) はスーパーユーザー権限の細かい制御を提供することで、root ユーザーの使用を減らすことができます。ソフトウェアの開発者はシステムバイナリの強力な setuid 属性を最小セットのケイパビリティで置き換えることが推奨されています。多数のパッケージがケイパビリティを利用しており、例えば CAP_NET_RAW は iputils に含まれている ping
と ping6
バイナリで使われています。これによって (setuid と同じように) 通常ユーザーで ping
を実行することができ、同時に、ping
の脆弱性によるセキュリティ上の影響を緩和することが可能となっています。
目次
要件
setcap ユーティリティを使って、拡張属性であるファイルケイパビリティを設定するには libcap をインストールする必要があります。
実装
Linux ではケイパビリティは security 名前空間の拡張属性 (man 7 xattr
) を使って実装されています。拡張属性は Ext2, Ext3, Ext4, Btrfs, JFS, XFS, Reiserfs など全ての主要な Linux ファイルシステムでサポートされています。以下の例では getcap
を使って ping のケイパビリティを出力してから、getfattr
を使ってエンコードされた同じデータを出力しています:
$ getcap /bin/ping /bin/ping = cap_net_raw+ep $ getfattr -d -m "^security\\." /bin/ping # file: bin/ping security.capability=0sAQAAAgAgAAAAAAAAAAAAAAAAAAA=
cp -a
を使うと拡張属性は自動的にコピーされますが、プログラムによっては特殊なフラグが必要な場合もあります: rsync -X
。
ケイパビリティは Arch のパッケージのインストールスクリプトによって設定されます (例: iputils.install
)。
管理とメンテナンス
パッケージのケイパビリティが過度に権限を与えている場合はバグと考えられます。ここに記載するのではなくバグとして報告してください。root アクセスと同等 (CAP_SYS_ADMIN) または root アクセスの許可と同等 (CAP_DAC_OVERRIDE) なケイパビリティはバグではありません。Arch は MAC/RBAC システムをサポートしていないためです。
ケイパビリティを利用できる他のプログラム
以下のパッケージには setuid 属性が設定されたファイルがありませんが、実行するには root 権限を必要とします。ケイパビリティを有効にすることで、権限昇格を行わなくても通常ユーザーでプログラムを使うことが可能になります。
beep
# setcap cap_dac_override,cap_sys_tty_config+ep /usr/bin/beep
chvt
# setcap cap_dac_read_search,cap_sys_tty_config+ep /usr/bin/chvt
iftop
# setcap cap_net_raw+ep /usr/bin/iftop
mii-tool
# setcap cap_net_admin+ep /usr/bin/mii-tool
便利なコマンド
setuid-root ファイルを検索:
$ find /usr/bin /usr/lib -perm /4000 -user root
setgid-root ファイルを検索:
$ find /usr/bin /usr/lib -perm /2000 -group root
参照
- Man Page capabilities(7) setcap(8) getcap(8)
- DeveloperWiki:Security#Replacing setuid with capabilities