setcap用法

setcap用法

 

转载自：https://feichashao.com/capabilities_basic/

1.背景

安装 Wireshark 的时候，有一步是给 dumpcap 读网卡的权限，使得普通用户也可以使用 Wireshark 进行抓包。

# setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/sbin/dumpcap

那么 setcap 是个啥玩意呢？

从前，要使被普通用户执行的某个程序有特殊权限，一般我们会给这个程序设置suid，于是普通用户执行该程序时就会以root的身份来执行。
    比如，/usr/bin/passwd 这个可执行文件就带有suid，普通用户执行它时会以root身份执行，所以 passwd 才能读取并修改 /etc/shadow 文件。

[root@rhel671 ~]# ls -l /usr/bin/passwd

-rwsr-xr-x. 1 root root 30768 Feb 17  2012 /usr/bin/passwd

[root@rhel671 ~]# ls -l /etc/shadow

----------. 1 root root 945 Sep 11 16:22 /etc/shadow

可以看到，使用 suid 有一个弊端，那就是以 root 身份执行的程序有了所有特权，这会带来安全风险。
    Kernel 从 2.2 版本开始，提供了 Capabilities 功能，它把特权划分成不同单元，可以只授权程序所需的权限，而非所有特权。

2.用 /bin/ping 测试

• 在 RHEL6 中，普通用户能执行 ping 命令是因为 /bin/ping 设置了 suid 。

[root@rhel671 ~]# ls -l /bin/ping

-rwsr-xr-x. 1 root root 38200 Dec 11  2014 /bin/ping

•      将 /bin/ping 的 suid 去除，普通用户则无法执行 ping.

[root@rhel671 ~]# chmod 755 /bin/ping

[root@rhel671 ~]# ls -l /bin/ping

-rwxr-xr-x. 1 root root 38200 Dec 11  2014 /bin/ping

[testuser@rhel671 ~]$ ping www.baidu.com

ping: icmp open socket: Operation not permitted

• 在 root 用户下，用 setcap 命令给 /bin/ping 这个可执行文件加上 “cap_net_admin,cap_net_raw+ep” 权限，普通用户即可使用 ping.

[root@rhel671 ~]# setcap 'cap_net_admin,cap_net_raw+ep' /bin/ping

[root@rhel671 ~]# getcap  /bin/ping

/bin/ping = cap_net_admin,cap_net_raw+ep

  

[testuser@rhel671 ~]$ ping www.baidu.com

PING www.a.shifen.com (119.75.217.109) 56(84) bytes of data.

64 bytes from 119.75.217.109: icmp_seq=1 ttl=47 time=4.08 ms

64 bytes from 119.75.217.109: icmp_seq=2 ttl=47 time=4.13 ms

3.Extended attributes

在 Linux 中的 Capabilities 是通过 extended attributes 中的 security 命名空间实现的。主流的 Linux 文件系统都支持 Extended attributes，包括 Ext2, Ext3, Ext4, Btrfs, JFS, XFS 和 Reiserfs.

[root@rhel671 ~]# getfattr -d -m "security\." /bin/ping

# file: bin/ping

security.capability=0sAQAAAgAwAAAAAAAAAAAAAAAAAAA=

4.备注

1. setcap 一般用于二进制可执行文件。setcap 用于脚本文件时无效（比如以 #!/bin/python 开头的脚本文件）
2. CAPABILITIES(7) 文档有较为详尽的说明，推荐阅读。

5.参考文献

https://wiki.archlinux.org/index.php/Capabilities
https://wiki.archlinux.org/index.php/DeveloperWiki:Security#Replacing_setuid_with_capabilities
https://wiki.archlinux.org/index.php/File_permissions_and_attributes#Extended_attributes
http://man7.org/linux/man-pages/man7/capabilities.7.html CAPABILITIES(7)