Kök ayrıcalıklarına sahip bir dosyaya programlı olarak yazmanın en güvenli yolu nedir?

Çok büyük bir uygulamanın, belirli bir zamanda, kök izinleri gerektiren bir dosyaya az sayıda yazma işlemi yapması gerekir. Gerçekten bir dosya değil, Linux'a bir dosya olarak maruz kalan bir donanım arayüzüdür.

Tüm uygulamaya kök ayrıcalıkları vermekten kaçınmak için, kritik görevleri yapan bir bash betiği yazdım. Örneğin, aşağıdaki komut dosyası donanım arabiriminin 17. bağlantı noktasını çıktı olarak etkinleştirir:

echo "17" > /sys/class/gpio/export
echo "out" > /sys/class/gpio/gpio17/direction

Ancak, suidsistemimdeki bash scriptleri için devre dışı bırakıldığı için bunu başarmanın en iyi yolunun ne olduğunu merak ediyorum.

1. Burada sunulan bazı geçici çözümleri kullanın

2. Komut dosyasını sudoana uygulamadan arayın ve komut dosyasını çağırırken parola istememek için, kullanıcı listesini uygun şekilde düzenleyin. Sudo ayrıcalıkları vermek için biraz rahatsızım echo.

3. Sadece bir C programı yazınız fprintfve onu suid köküne ayarlayınız. Dizeleri ve dosya adlarını sabit olarak kodlayın ve yalnızca kök dizinin düzenleyebildiğinden emin olun. Veya dizeleri bir metin dosyasından da okuyarak, hiç kimsenin dosyayı düzenleyemediğinden emin olun.

4. Bana gelmeyen ve yukarıda sunulanlardan daha güvenli veya daha basit olan başka bir çözüm?

sudoErişim izni vermene gerek yok echo. Aslında, bu anlamsızdır, örneğin sudo echo foo > bar, yeniden yönlendirme, kök olarak değil, orijinal kullanıcı olarak yapılır.

Küçük betiği kullanarak sudo, NOPASSWD:SADECE bu betiğe (ve diğer benzer komut dosyalarına) erişmesi gereken kullanıcı (lar) tarafından erişime izin verin.

Bu her zaman kullanmanın en iyi / en güvenli yoludur sudo. Kök ayrıcalıklarına ihtiyaç duyan az sayıdaki komutu kendi ayrı komut dosyalarına ayırın ve güvenilmeyen veya kısmen güvenilen kullanıcının yalnızca bu komut dosyasını kök olarak çalıştırmasına izin verin.

Küçük sudoharfli komut (lar) kullanıcıdan ya (ya da girdi) kullanıcılardan (örn. Çağırdığı diğer programların kodlanmış seçenek ve argümanlara sahip olması gerekir) argüman almamalı ya da girmesi gereken tüm argümanları / girdileri doğrulamalıdır. kullanıcıdan kabul et

Doğrulamada paranoyak olun - dışlanacak "bilinen kötü" şeyleri aramak yerine, yalnızca "iyi bilinen" şeylere izin verin ve uyumsuzluk veya hata veya uzaktan şüpheli olan herhangi bir şeyi iptal edin.

Doğrulama, senaryoda mümkün olduğunca erken yapılmalıdır (tercihen root olarak başka bir şey yapmadan önce ).

Ben gerçekten ben ilk bu cevabı yazdığında bu bahsetmeliydik ancak komut bir kabuk eğer GEREKİR düzgün alıntı bütün değişkenleri. Kullanıcı tarafından sağlanan girdiyi içeren değişkenleri herhangi bir şekilde alıntılamaya özellikle dikkat edin , ancak bazı değişkenlerin güvenli olduğunu varsaymayın, QUOTE THEM ALL .

Yani potansiyel olarak (örneğin kullanıcı tarafından kontrol ortam değişkenleri içeren "$PATH", "$HOME", "$USER"vb Ve kesinlikle dahil "$QUERY_STRING"ve "HTTP_USER_AGENT"vb bir CGI komut dosyası). Aslında, sadece hepsini alıntı. Birden fazla argüman içeren bir komut satırı oluşturmak zorundaysanız, args listesini oluşturmak için bir dizi kullanın ve şunu yazın - "${myarray[@]}".

Yeterince "hepsini alıntı" dedim mi? Bunu hatırlamak. yap.

GPIO dosyalarındaki sahibini kontrol edin:

ls -l /sys/class/gpio/

Büyük olasılıkla, bunların gruba ait olduğunu göreceksiniz gpio:

-rwxrwx--- 1 root     gpio     4096 Mar  8 10:50 export
...

Bu durumda, kullanıcılarınızı gpiosudo olmadan erişime izin vermek için gruba ekleyebilirsiniz :

sudo usermod -aG gpio myusername

Değişikliğin geçerli olması için oturumu kapatıp tekrar girmeniz gerekir.

Bunun için bir çözüm (özellikle Linux masaüstünde kullanılır, ancak diğer durumlarda da uygulanabilir), yetkilendirmeyi yapmak için root ve polkit olarak çalışan küçük bir hizmeti etkinleştirmek için D-Bus kullanmaktır . Bu temelde polkit için tasarlanan şeydir ; onun gelen tanıtıcı belgeler :

polkit, imtiyazsız programlara (“İSTEMCİLER”) hizmet sunan imtiyazlı programlar (“MEKANİZMALAR”) tarafından kullanılması amaçlanan bir yetkilendirme API'si sunar. Sistem mimarisi ve büyük resim için polkit kılavuz sayfasına bakın.

Yardımcı programınızı uygulamak yerine, büyük, ayrıcalıklı olmayan program otobüse bir istek gönderir. Yardımcınız ya sistem önyüklemesinde başlatılan bir arka plan programı olarak çalışıyor olabilir ya da daha iyisi, systemd tarafından gerektiğinde etkinleştirilebilir . Ardından, bu yardımcı, isteğin yetkili bir yerden geldiğini doğrulamak için polkit'i kullanır. (Ya da, bu durumda, bu fazla kilolu gibi geliyorsa, başka bir sabit kodlanmış kimlik doğrulama / yetkilendirme mekanizması kullanabilirsiniz.)

D-Bus ile iletişim hakkında iyi bir temel makale buldum ve test etmedim, ancak bu, karışıma polkit eklemenin temel bir örneği gibi görünüyor .

Bu yaklaşımda hiçbir şeyin belirgin olarak işaretlenmesi gerekmez.

Bunu yapmanın bir yolu, sadece ihtiyaç duyulan ve başka bir şey yapmayan, C ile yazılmış bir setuid root programı oluşturmaktır. Senin durumunda, hiçbir kullanıcı girişine bakmak zorunda değil.

#include <unistd.h>
#include <string.h>
#include <stdio.h>  // for perror(3)
// #include ...  more stuff for open(2)

static void write_str_to_file(const char*fn, const char*str) {
    int fd = open(fn, O_WRONLY)
    if (-1 == fd) {
        perror("opening device file");  // make this a CPP macro instead of function so you can use string concat to get the filename into the error msg
        exit(1);
    }
    int err = write(fd, str, strlen(str));
    // ... error check
    err = close(fd);
    // ... error check
}

int main(int argc, char**argv) {
    write_string_to_file("/sys/class/gpio/export", "17");
    write_string_to_file("/sys/class/gpio/gpio17/direction", "out");
    return 0;
}

Bunu ortam değişkenleri ya da herhangi bir şey aracılığıyla alt etmenin bir yolu yok çünkü tek yaptığı bir çift sistem çağrısı yapmak.

Dezavantaj: Her sistem çağrısının dönüş değerini kontrol etmelisiniz.

Upside: hata kontrolü gerçekten çok kolay: eğer herhangi bir hata varsa, hemen perrorve kurtarın: sıfır olmayan durumdan çıkın. Bir hata varsa, ile araştırın strace. Gerçekten güzel hata mesajları vermek için bu programın kendisine ihtiyacınız yok.

Sudo için yankı yerine tişörtleri koruyun, kök izinlerini sınırlamanız gereken bir duruma yaklaşmanın yaygın bir yoludur. / Dev / null komutunun yönlendirmesi, herhangi bir çıktının sızmasını durdurmak içindir - tee istediğiniz şeyi yapar.

echo "17" | sudo tee /sys/class/gpio/export > /dev/null
echo "out" | sudo tee /sys/class/gpio/gpio17/direction > /dev/null

İstediğiniz görevi gerçekleştiren bir komut dosyası yapabilirsiniz. Ardından, yalnızca OpenSSH tarafından kullanılan bir anahtar sağlayarak giriş yapabilen yeni bir kullanıcı hesabı oluşturun.

Not: Anahtar dosyası varsa, herkes bu komut dosyasını çalıştırabilir; bu nedenle, OpenSSH anahtar dosyasının, görevi gerçekleştirmesini engellemek istediğiniz herhangi biri tarafından okunamadığından emin olun.

OpenSSH yapılandırmasında (yetkili_keys dosyasında), anahtarı belirtmeden önce, bu "örnek" metinde açıklandığı şekilde bir komut (ardından boşluk) belirtin:

command="myscript" keydata optionalComment

Bu yapılandırma seçeneği, bu OpenSSH anahtarını yalnızca belirli bir komutu çalıştırmak için kısıtlayabilir. Artık izinleri vermişsiniz, ancak OpenSSH yapılandırması, kullanıcının başka komutları çalıştırmaması için yapabileceklerini sınırlamak / sınırlamak için gerçekten kullanılan çözümün bir parçası. Bu aynı zamanda bir "sudo" konfigürasyon dosyasında da karmaşık değildir, bu yüzden OpenBSD kullanıyorsanız veya OpenBSD'nin yeni "doas" ları ("olarak yapın") daha popüler olmaya başlarsa (kullandığınız işletim sisteminin gelecekteki sürümleriyle) , sudo konfigürasyonunda fazla karmaşık olmanıza gerek kalmayacak.