2011年5月31日

[jsosug:00153] Re:Capabilityの設計思想について

海外です

Linux Capability には 4 種類のビットがあり、それぞれ役割が異なります。
P : Permitted、E : Effective、I : Inherited および B : Bounding です。

このうち、プロセスが Capability を必要とする操作を OS に対して要求した際に
評価されるのは E ビットですが、残りのビットも E ビットを導出する過程で利用
されます。


セキュアOS塾の資料では言及していませんが、capset(2) システムコールを
使ってプロセスの Capability を操作する際には以下のような制限事項があり
ます。

new P ⊆ old P
new E ⊆ new P

したがって、実際に Capability として意味ある働きをするのは E ビットですが、
P ビットの範囲内であれば再設定する事は可能です。

もう少し叙述的に各ビットの意味を記すとすれば、
P ビット…そのプロセスで設定する事が可能な Capability の範囲
E ビット…特権が評価される時に利用される Capability で、常に E ⊆ P

つまり、Pビットを放棄すれば、そのプロセスでは二度とその Capability を
使う事はできませんが、Eビットを一時的に放棄して、特定のルーチンの
実行時に Capability を使えなくする、という使い分けはできるようになって
います。(禁止されてはいません)

なお、Pビットは execve(2) の計算時に rootユーザであってもB ビットに
よって制限されますが、Bビットは常に縮退する一方です。
確かこれは、chroot(2)を使ってプロセス固有の namespace から脱出
できないようにして、Solaris Container のような環境を実現するという
開発目的があったはずです。

2011年5月31日0:50 MATSUMOTO Ryosuke <matsu1229@xxxxx>:
> 忠鉢様
> Capabilityの仕様と概要の情報ありがとうございます。
> 今回のメールの意図は、Capabilityに関してもう少し踏み込んだ内容に関して
> だと思っていただくといいかと思います。
>>
>> Linuxにおけるcapabilityの基本的な考え方は,rootが起動したプログラムを,最低限のcapabilityのみを許して実行させよう,という話だと思います.
> 意図としては、Capabilityをセットする際、セットしたいCapability *以外* のCapabilityを
> 落としすことでCapability機能を実現しています。
> その *落とした* Capabilityを再度同じプロセスにセットし直せない様な仕様になっている
> のは、どういうリスクを想定しているのかをお聞きしたいと思っています。
> もう少し踏み込みます。
> 例えば、あるプロセスにあるCapabilityのみをセットした状態にし、それ以外のCapabilityは
> 落とした状態だとします。「プロセスにセットしてあるCapabilityを一旦落とした後、再度、直
> 前までセットしていたCapability *のみ* をセットし直すことは可能だ」、という仕様を許可
> することは、リスク的にどういったものが考えられるでしょうか?
> 2011年5月31日6:03 Shintaro Fujiwara <shintaro.fujiwara@xxxxx>:
>>
>> こんにちは、藤原です。
>>
>> secureos.jp が出てこないんですけど。。
>>
>>
>> 2011年5月30日22:28 Yosuke Chubachi <pianobile@xxxxx>:
>> > 忠鉢(@yuzuhara)です.
>> >
>> >> そこで、このような一方向でCapabilityを抜いていく仕様となった原因やリスクとは具
>> >> 体的にどういった内容を想定されての仕様なのでしょうか?
>> >
>> > Linuxにおけるcapabilityの基本的な考え方は,rootが起動したプログラムを,最低限のcapabilityのみを許して実行させよう,という話だと思います.
>> > 参考)海外さんの発表in セキュアOS塾
>> >
>> > http://www.secureos.jp/index.php?plugin=attach&refer=events%2Fjsosjk02&openfile=20090202-sosjk02-kaigai.pdf
>> >
>> >
>> > ざっくり言えば,原因は「本来,特権の一部が必要なプログラムなはずなのに,すべての特権を許可して(つまりrootで)実行していた」になり,リスクは「プログラムを乗っ取る攻撃により,(結果的に)root特権が奪取される可能性」といえると思います.
>> >
>> > linuxのケーパビリティとはどういうもの?という話は,この辺を読むと良いかもしれません.
>> >
>> > http://www.symantec.com/connect/articles/introduction-linux-capabilities-and-acls
>> >
>> > 以上です.
>> > 2011年5月30日17:18 MATSUMOTO Ryosuke <matsu1229@xxxxx>:
>> >> 日本セキュアOSユーザ会の皆様
>> >> はじめまして、松本亮介と申します。
>> >>
>> >> Capabilityの設計思想に関してお聞きしたいのですが、Capabilityは権限を落とす方向
>> >> にしか動作しないようになっていると思います。
>> >> 例えば、とあるプロセスにsetuidのみのCapabilityがセットされた上体で、一旦setuid
>> >> のCapabilityを落とすと、再度setuidのCapabilityを与えられないような仕様になってい
>> >> ると理解しています。
>> >> そこで、このような一方向でCapabilityを抜いていく仕様となった原因やリスクとは具
>> >> 体的にどういった内容を想定されての仕様なのでしょうか?
>> >> ご存知の方がいらっしゃいましたら、ご教授下さい。
>> >> -----
>> >> MATSUMOTO Ryosuke < matsu1229 gmail.com >
>> >> _______________________________________________
>> >> Japan secure operating system users group
>> >> users-ml@xxxxx
>> >> http://lists.sourceforge.jp/mailman/listinfo/jsosug-users
>> >>
>> >>
>> >
>> >
>> >
>> > --
>> > 忠鉢 洋輔
>> > Mail:pianobile@xxxxx
>> >
>> > _______________________________________________
>> > Japan secure operating system users group
>> > users-ml@xxxxx
>> > http://lists.sourceforge.jp/mailman/listinfo/jsosug-users
>> >
>>
>>
>>
>> --
>> http://intrajp.no-ip.com/ Home Page
>>
>> _______________________________________________
>> Japan secure operating system users group
>> users-ml@xxxxx
>> http://lists.sourceforge.jp/mailman/listinfo/jsosug-users
>
>
> _______________________________________________
> Japan secure operating system users group
> users-ml@xxxxx
> http://lists.sourceforge.jp/mailman/listinfo/jsosug-users
>
>

--
KaiGai Kohei <kaigai@xxxxx>
_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2011年5月31日 17:21
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/104258
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。