komut dosyası: bir bash betiğinde doğru izinlerle setreuid () / setregid () işlevini etkileşimli olarak çağırmamak nasıl?

Bir bash betiği ile başladım cap_sys_admin,cap_setgid,cap_setuid+i (bu yetenekler miras kalır) , şifre yazmadan root olmanın komutu nedir (bunun sadece kullanma anlamına geldiğine dikkat edin setreuid(0,0))  ?

Amaç, geliştirici modundayken ya da rootfs doğrulamasını kapatmadan bunu gerçekleştirmektir . Bu, kendim yazmış olduğum bir sargıcıyı arayamayacağım, ne de bir bölüm yürütücüsünü yeniden birleştirmek için cap_sys_admin kullanmanın bir yolu olmadığı sürece python veya perl kullanamıyorum.
Komut önyükleme işlemi sırasında başlatılır.

Benim ilk gözlemim, 3 yeteneğiniz var. Yeteneğinizi kök salgılayarak tüm yeteneklerinize göre nasıl ayarlayacağınızı sormaya çalışıyor musunuz? İlk bakışta, sadece 3 olan tüm yetenekleri (kök olmak suretiyle) kazanmaya çalışıyorsunuz.

İkinci gözlem, sistemin sınırlama kabiliyetinin ne olduğunu belirlemediğinizdir. Yani, genel sınırlama kümesi sadece bu 3 yetenek ise, o zaman kök olmanın hiçbir etkisi olmayacaktır.

Üçüncü gözlem, “güvenlik duvarlarının” ne olduğunu belirtmemenizdir. Değerlerine bağlı olarak başka yetenekler eklemek imkansız olabilir veya kök olmanın UID'nizi değiştirmekten başka bir şey yapmaması söz konusu olabilir (yani kök artık özel değildir).

Dördüncü gözlem - bash kabuğunuzu listelenen özelliklerle başlatırken, bash'ın gerçekten bu yetenekleri koruduğunu göstermezsiniz. Emin olmak isteyebilirsin.

Ama ben # 1 gözlemine gidip sorduğun şeyin mümkün olmaması gerektiğini söyleyeceğim. Öyleyse, çekirdek güvenlik hatası gibi görünüyor - özellikle bir ayrıcalık artışı. Bunu yapmanın bir yolunu bulursanız, güvenlik hataları genellikle en kısa sürede çözüldüğü için uzun süre kalmayacağını düşünüyorum.

Bunun neden bir güvenlik hatası olmayacağına ilişkin kullanım durumunuzda bir şey eksik mi?

Cevap mount.exfat-fuse'un sadece izinlere dayanması ve ᴜɪᴅ 0 olup olmadığını kontrol etmemesi şeklinde basit.

/sbin/mount.exfat-fuse /media/removable/Y/dev /media/removable/archive -o exec,nonempty

Tabii ki, bu sadece buldum sayesinde exfat-fuse yükseltildiği için önemsediğim versiyonlarda işe yarıyor .

Yeni cevap: Belirlediğiniz gibi (akıllıca) risk almak istemediğiniz sürece, mümkün değildir. Almak istemediğiniz.

Sorunu özetlemek için:

1. Rootfs dışındaki tüm diskler noexec olarak monte edilmiştir, bu nedenle komut dosyaları içerebilir, ancak programlar
2. Rootfs (sistem) sağlama toplamıdır ve değiştirilemez
3. Sistem değiştirme fiilleri sadece geliştirme modunda izin verilir (admin)
4. Exec ile disklerin yeniden montajı sadece geliştirme modunda mümkündür
5. Geliştirme modunda olmadığı sürece, intihar ve sistem değiştirme yetenekleri çalışmaz.

Çözümler ve geçici çözümler:

1. Programlar bir komut dosyası tarafından çalıştırılabilir, o satırda adlandırılan yürütülebilir dosyayı çalıştıracak olan she-bang satırıyla başlar (#! İle başlar). Ancak geliştirme modunda olmadığı sürece, rootfs'tan yalnızca sınırlı sayıda program bu şekilde çalıştırılabilir.
2. Rootfs doğrulama işlemini kaldırın ve dosya sistemini uyarılara
   sudo /usr/share/vboot/bin/make_dev_ssd.sh --remove_rootfs_verification
   bakınız linki ile yazılabilir hale getirin .
3. Kendi rootfs'ınızı sağlama toplamıyla yazın ( google önbelleğindeki silinmiş dokümanın bağlantısı ).

[Eski cevap]

CAP_SYS_ADMINHerhangi bir ikili sistemi arka kapıya bağlamak için varolan bir sistemin üzerine yeni bir dosya sistemi bağlamak için, dosya sistemine bağlanma / bağlantı kaldırma kabiliyetini verdiği için kök izin anlamına gelen bir yetenek istediniz .

Chrome OS'de olduğu gibi, tüm güvenlik deliklerini engellemek için, dev modunda değilken intiharı engellemek dahil olmak üzere büyük bir çaba sarf edildi, yeteneklerin de engellenip engellenmediğini bilmiyorum ve test edebileceğim bir Chromebook'um yok (ancak siz ).

Bu yetenekler şu şekilde sağlanabilir:

$  sudo setcap cap_sys_admin+ep executable

Referanslar:

• CAP_SYS_ADMIN: yeni kök
• Yanlış Sınırlar ve Rasgele Kod Yürütme
• CAP_SYS_ADMIN nasıl kullanılır