logo标签列表

使用能力在不需要root权限的情况下打开特权端口

c++linuxlinux-capabilities
4

我试图在不以root权限运行的情况下打开特权端口(例如使用libcap)。

这是我的代码:

// http_capabilities.cpp

#include <iostream>
#ifdef CLIENT
#include <arpa/inet.h>
#include <stdio.h>
#include <string.h>
#include <sys/socket.h>
#include <unistd.h>
#endif

#ifdef SERVER

#include <arpa/inet.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <unistd.h>

#include <sys/capability.h>
#endif


#ifdef SERVER
cap_t CAP_init(){
    cap_t caps = cap_get_proc();
    cap_value_t val = CAP_NET_BIND_SERVICE;//CAP_SETUID;
    cap_set_flag(caps, CAP_EFFECTIVE, 1, &val, CAP_SET);
    if (cap_set_proc(caps)) {
        perror("failed to raise cap_net_bind_service");
        exit(1);
    }
    return caps;
}

void CAP_close(cap_t caps){
    
     if (cap_free(caps) == -1){
    /* handle error */;
        perror("CAPABILITY ERROR - cap_free_proc()");
    }

}
#endif

int server(uint16_t  PORT)
#ifdef SERVER
{
    int server_fd, new_socket, valread;
    struct sockaddr_in address;
    int opt = 1;
    int addrlen = sizeof(address);
    char buffer[1024] = { 0 };
    std::string app = "Hello from server";
    const char* hello = app.c_str();
    
  
    // Creating socket file descriptor
    if ((server_fd = socket(AF_INET, SOCK_STREAM, 0))
        == 0) {
        perror("socket failed");
        exit(EXIT_FAILURE);
    }
  
    // Forcefully attaching socket to the port 8080
    if (setsockopt(server_fd, SOL_SOCKET,
                   SO_REUSEADDR | SO_REUSEPORT, &opt,
                   sizeof(opt))) {
        perror("setsockopt");
        exit(EXIT_FAILURE);
    }
    address.sin_family = AF_INET;
    address.sin_addr.s_addr = INADDR_ANY;
    address.sin_port = htons(PORT);
  
    // Forcefully attaching socket to the port 8080
    if (bind(server_fd, (struct sockaddr*)&address,
             sizeof(address))
        < 0) {
        perror("bind failed");
        exit(EXIT_FAILURE);
    }
    if (listen(server_fd, 3) < 0) {
        perror("listen");
        exit(EXIT_FAILURE);
    }
    if ((new_socket
         = accept(server_fd, (struct sockaddr*)&address,
                  (socklen_t*)&addrlen))
        < 0) {
        perror("accept");
        exit(EXIT_FAILURE);
    }
    valread = read(new_socket, buffer, 1024);
    printf("%s\n", buffer);
    send(new_socket, hello, strlen(hello), 0);
    printf("Hello message sent\n");
    
  // closing the connected socket
    close(new_socket);
  // closing the listening socket
    shutdown(server_fd, SHUT_RDWR);
    return 0;
}
#else
{
    //non lo compilerà mai
    //serve la ifdef per non dover linkare la libcap anche col client
    return 0;
}
#endif

int client(uint16_t  PORT){

    int sock = 0, valread, client_fd;
    struct sockaddr_in serv_addr;
    std::string app = "Hello from client";
    const char* hello = app.c_str();
    char buffer[1024] = { 0 };
    if ((sock = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
        printf("\n Socket creation error \n");
        return -1;
    }
  
    serv_addr.sin_family = AF_INET;
    serv_addr.sin_port = htons(PORT);
  
    // Convert IPv4 and IPv6 addresses from text to binary
    // form
    if (inet_pton(AF_INET, "127.0.0.1", &serv_addr.sin_addr)
        <= 0) {
        printf(
            "\nInvalid address/ Address not supported \n");
        return -1;
    }
  
    if ((client_fd
         = connect(sock, (struct sockaddr*)&serv_addr,
                   sizeof(serv_addr)))
        < 0) {
        printf("\nConnection Failed \n");
        return -1;
    }
    send(sock, hello, strlen(hello), 0);
    printf("Hello message sent\n");
    valread = read(sock, buffer, 1024);
    printf("%s\n", buffer);
  
    // closing the connected socket
    close(client_fd);
    return 0;
}


int main(int argc, char const* argv[])
{
    if(argc != 2){
        std::cerr<< "wrong number of params passed, defaulting to port 80" <<argc<< std::endl;
    }

    uint16_t  port = 80;
    
    if(argc == 2)
    port = atoi(argv[1]); 
    
    #ifdef SERVER
    
    std::cout<< "server"<< std::endl;
    cap_t cap = CAP_init();
    server(port);
    CAP_close(cap);
    #endif
    
    #ifdef CLIENT
    std::cout<< "client"<< std::endl;
    client(port);
    #endif
}

我用以下方式编译它:
g++ -DSERVER http_capabilities.cpp -Ilibcap/libcap -Ilibcap/libcap/include/ -lcap -Llibcap/libcap -o server_exe
# and
g++ -DCLIENT http_capabilities.cpp -Ilibcap/libcap -Ilibcap/libcap/include/ -lcap -Llibcap/libcap -o server_exe

我这样运行它:

$ ./server_exe 88

我理解为:

failed to raise cap_net_bind_service: Operation not permitted

我做错了什么?

2
虽然我不是专家,但似乎 https://dev59.com/_nRC5IYBdhLWcg3wFdBx 回答了一个类似的问题。 - Zaiborg
2
你不能增加你没有的能力。你必须是root(超级用户)或已经拥有特定的能力。你只能降低/删除一个。 - Craig Estey
2
如果您不是“root”用户,则无法请求需要“root”访问权限的特权。但是,作为“root”用户,您可以授予子进程或应用程序对某些功能的特权访问。简而言之:您需要特权访问才能分配特权 - 非特权应用程序不能仅仅获取特权 - 这将破坏一切。 - Jesper Juhl
1
能力是特权。你试图做的事情根本不被允许/不可能 - 如果它能够运作,那么它将破坏整个安全模型 - 那么任何非特权进程都可以随意获取所需的特权 - 那还有什么意义呢? - Jesper Juhl
看起来你正在编译 libcap tar 文件内容。-Ilibcap/libcap 头文件是库的私有文件,你不需要它们。 - Tinkerer
显示剩余3条评论
1个回答
1
你应该可以使用文件功能使其工作:

$ sudo setcap cap_net_bind_service=p ./server_exe

因此,当您执行./server_exe时,它将拥有足够的特权来运行。

$ ./server_exe 88

Fully Capable libcap网站上,还有关于如何使用能力共享库的描述。我不确定这是否是一种可行的方法,但它确实有效。在这个答案中提到了它:https://dev59.com/yL7pa4cB1Zd3GeqP6Msk#69924486

认真吗?我猜这是一个公平的问题...以这种方式使用共享库有效地将库中的代码作为对过于宽泛的CAP_NET_BIND_SERVICE权限的附加约束应用。也就是说,那个微小的共享库中的代码仅限于打开端口80。这正是POSIX.1e人们在撰写他们(草案)标准时所考虑的内容。代码使用特权,而经过审计的代码才应该被允许这样做。 - Andrew G Morgan
你们两个,给予任何非特权可执行文件(通过共享库)绑定到系统端口的特权是一种安全漏洞。为什么你们要推荐这样做呢? - relent95
如果您有运行sudo的能力,这并不构成任何违规。 - Tinkerer
有一种广泛的观点认为,端口80特权限制是一个错误。例如,https://ar.al/2022/08/30/dear-linux-privileged-ports-must-die/。它主要[让人困惑](https://stackoverflow.com/search?q=port+80+privilege)。容器[消除了它](https://medium.com/@olivier.gaumond/why-am-i-able-to-bind-a-privileged-port-in-my-container-without-the-net-bind-service-capability-60972a4d5496)。 完全能力文章确实需要一些讨论,为什么使用setuid-root做同样的事情会带来麻烦... - Andrew G Morgan
1
@relent95,我现在已经在该文章中添加了一篇关于此代码有多易受攻击的长篇讨论。 - Andrew G Morgan
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接