Forum Linux.noyau POSIX capabilities / ouvrir port tcp <=1024

• # Décomposer exécutable en lanceur + bibliothèque

  Posté par Achille Fouilleul (site web personnel) le 12 octobre 2011 à 16:30. Évalué à 2.

  

  Une idée que je n'ai pas testée.

  Le lanceur pourrait ressembler à ça: (à compiler avec -std=c99 -ldl -o run-with-cap-net-bind-service)

  #include <dlfcn.h>
  
  typedef int (*FuncPtr)(/* ... */);
  
  int main(int argc, char *argv[])
  {
      const char *libpath = ...; /* à récupérer dans argv */
      void *lib = dlopen(libpath);
      if (lib == NULL)
          abort();
      FuncPtr libmain = (FuncPtr)dlsym(lib, "libmain");
      if (libmain == NULL)
          abort();
      return libmain(/* ... *);
  }
  
  

  Ce programme reçoit la capability cap_net_bind_service et éventuellement quelques restrictions (chgrp, chmod g+x, ...).
  L'utilisateur crée son code et le compile avec l'option -shared.
  Ex: gcc -shared ... -o libmain.so
  NB: le point d'entrée devient:

  int libmain(/* même signature que ci-dessus, cf. FuncPtr */)
  {
  }
  
  

  Pour lancer le tout: ./run-with-cap-net-bind-service libmain.so ...

• # création de fichier qui sera executé en fork.

  Posté par ob3wan le 12 octobre 2011 à 16:55. Évalué à 1.

  

  Merci,

  en fait mon problème ce situe plus dans le cas d'un execve.
  dans ce cas le fils ne va pas forcement avoir la capacité activée, sauf si le fichier du fils l'a en inherited dans son inode.

  Peut on obliger le kernel a a mettre une capacité pour toute création de fichier?

  • [^] # Re: création de fichier qui sera executé en fork.

    Posté par fearan le 12 octobre 2011 à 17:33. Évalué à 2.

    

    selon

    http://www.kernel.org/doc/man-pages/online/pages/man7/capabilities.7.html

    y a tout un blabla sur le execve ;) par contre ça manque d'un exemple pratique

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: création de fichier qui sera executé en fork.

      Posté par benja le 12 octobre 2011 à 18:01. Évalué à 2.

      

      Ben apparemment c'est pas possible vu que les capabilities autorisées par le fichier sont toujours vérifiées, donc il faut qu'elles y soient... Il n'y a que les capabilities héritables qui subsistent.

      Pourquoi ne pas faire un simple script SETUID que tes utilisateurs pourront lancer sur les binaires qu'ils créent ?

      • [^] # Re: création de fichier qui sera executé en fork.

        Posté par BFG le 13 octobre 2011 à 12:34. Évalué à 1.

        

        Pourquoi ne pas faire un simple script SETUID que tes utilisateurs pourront lancer sur les binaires qu'ils créent ?

        Il vaut mieux utiliser sudo qui fait déjà le travail, et qui en plus permet de bien choisir ce qu'on autorise.
        De plus, il me semble qu'un script shell SUID perd son SUID.

        • [^] # Re: création de fichier qui sera executé en fork.

          Posté par benja le 13 octobre 2011 à 13:40. Évalué à 1.

          

          Ah oui en effet ! X 2 :) merci

      • [^] # Re: création de fichier qui sera executé en fork.

        Posté par Frédéric Perrin (site web personnel) le 13 octobre 2011 à 22:44. Évalué à 3.

        

        Pourquoi ne pas faire un simple script SETUID que tes utilisateurs pourront lancer sur les binaires qu'ils créent ?

        Autant mettre le mot de passe de root dans /etc/issue, ça ira plus vite...

        Une autre possibilité serait peut-être d'utiliser inetd, qui permet de dire que toute connexion sur le port A est redirigée sur le programe /home/userB/bin/whatever qui sera exécuter en tant que userC.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.