【安全】10分鐘理解Capability本質
阿新 • • 發佈:2018-12-16
核心定理大公式
(注:man capabilities 7)
Linux核心行為
根據公式,得出推論
1. root使用者如果把自己的3個全部搞為0,bnd不為0,exec之後全為1,由於被F影響。 2. bnd限制了root使用者exec後的邊界,docker就是對當前程序的bnd進行設定,避免在容器內root建立新程序而cap提升。
docker run --cap_add --cap_drop的本質
1. docker修改bnd,並讓i等於bnd,這樣後續root使用者的邊界是bnd,普通使用者的邊界是i和bnd。 2. 丟掉其它能力,只保持預設14個,應付root的 3. docker exec只擁有docker容器的許可權,不能超過。
其它備註
1. e和p要同時去掉 2. i是exec不是fork,fork的完全繼承父程序。 3. 程序的capset只能修改自己的 4. bnd是通過prctl來修改的
(注:man capabilities 7)
P'(ambient) = (file is privileged) ? 0 : P(ambient)
P'(permitted) = (P(inheritable) & F(inheritable)) |
(F(permitted) & cap_bset) | P'(ambient)
P'(effective) = F(effective) ? P'(permitted) : P'(ambient)
P'(inheritable) = P(inheritable) [i.e., unchanged]
where:
P denotes the value of a thread capability set before the
Linux核心行為
根據公式,得出推論
1. root使用者如果把自己的3個全部搞為0,bnd不為0,exec之後全為1,由於被F影響。 2. bnd限制了root使用者exec後的邊界,docker就是對當前程序的bnd進行設定,避免在容器內root建立新程序而cap提升。
docker run --cap_add --cap_drop的本質
1. docker修改bnd,並讓i等於bnd,這樣後續root使用者的邊界是bnd,普通使用者的邊界是i和bnd。 2. 丟掉其它能力,只保持預設14個,應付root的 3. docker exec只擁有docker容器的許可權,不能超過。
其它備註
1. e和p要同時去掉 2. i是exec不是fork,fork的完全繼承父程序。 3. 程序的capset只能修改自己的 4. bnd是通過prctl來修改的