昇格した機能を必要とするプログラムを作成しようとしています (単純に sudo で実行するのではなく)。ただし、 setcap を使用して設定した機能は、一度実行するとプロセスに転送されないようです。この問題は、複数の実行可能ファイルで発生し、さまざまな機能を使用しています。
このコードは cap_set_file() を使用して、CLA として渡されたファイルに CAP_NET_RAW 機能を付与します。(なぜこれが必要なのか聞かないでください。)
#include <stdio.h>
#include <stdlib.h>
#include <sys/prctl.h>
#include <sys/capability.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#define handle_error(msg) \
do { printf("%s: %s\n", msg, strerror(errno)); exit(EXIT_FAILURE); } while (0)
void print_cap_buf(cap_t cur) {
char *buf;
buf = cap_to_text(cur, NULL);
printf("%s\n", buf);
cap_free(buf);
}
void get_and_print_cap_buf() {
cap_t cur = cap_get_proc();
print_cap_buf(cur);
cap_free(cur);
}
int main(int argc, char *argv[]) {
cap_t file_cap;
printf("Process capabilities: ");
get_and_print_cap_buf(); // Print the current process capability list.
file_cap = cap_from_text("cap_net_raw=ep");
if (file_cap == NULL) handle_error("cap_from_text");
printf("Capabilities to set in file: "); print_cap_buf(file_cap);
if (argc == 2) {
if ( cap_set_file(argv[1], file_cap) != 0) handle_error("cap_set_file");
} else printf("No file specified.\n");
cap_free(file_cap);
return 0;
}
gcc でコンパイルした後:
gcc -Wall -pedantic -std=gnu99 test.c -o tt -lcap
私はそれに機能を与えます:
sudo setcap "cap_setfcap,cap_fowner,cap_net_raw=eip" tt
getcap tt を使用すると、出力は次のようになります。
$ getcap tt
tt = cap_fowner,cap_net_raw,cap_setfcap+eip
ただし、プログラムを実行すると、次の出力が得られます (test-client は、生のイーサネット ソケットを作成する実行可能ファイルです)。
$ ./tt test-client
Process capabilities: =
Capabilities to set in file: = cap_net_raw+ep
cap_set_file: Operation not permitted
ただし... sudoを使用してプログラムを実行すると、すべてのプロセス機能が正常に機能します。
$ sudo ./tt test-client
Process capabilities: = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,37+ep
Capabilities to set in file: = cap_net_raw+ep
ターゲット ファイル「test-client」の機能が適切に設定されます。
ただし、CAP_NET_RAW を使用しても、クライアントは EPERM での socket() 呼び出しに失敗します。CAP_NET_ADMIN も必要な場合に備えて設定してみました。同じ問題。上記のプログラムで CAP_SETPCAP を使用してみました。サイコロはありません。実行可能ファイルの機能が実行中のプロセスに入っていない切断に絞り込んだと確信しています。
ここで何が欠けていますか?
編集、翌朝:
さて、さらにテストを行ったところ、このコードは Raspberry Pi で問題なく動作することがわかりました。プライマリ マシンで LXTerminal を使用して Lubuntu 16.04 を実行していますが、これが失敗しています。LXTerminal 内およびテキストのみのシェルでも失敗します。多分それはOSのバグですか?
Lubuntu マシン (cat /proc/version):
Linux version 4.4.0-34-generic (buildd@lgw01-20) (gcc version 5.3.1 20160413 (Ubuntu 5.3.1-14ubuntu2.1) ) #53-Ubuntu SMP Wed Jul 27 16:06:39 UTC 2016
円周率:
Linux version 4.4.11-v7+ (dc4@dc4-XPS13-9333) (gcc version 4.9.3 (crosstool-NG crosstool-ng-1.22.0-88-g8460611) ) #888 SMP Mon May 23 20:10:33 BST 2016
もう一度編集: --
インストールに使用したのと同じ USB キーを使用して、別のマシンでテストしました。わずかに異なる /proc/version:
Linux version 4.4.0-31-generic (buildd@lgw01-16) (gcc version 5.3.1 20160413 (Ubuntu 5.3.1-14ubuntu2.1) ) #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016
正常に動作します。私は困惑している。