スクリプトのsuid
Rev.1を表示中。最新版はこちら。
スクリプトもコマンド実行と同じくexeシステムコールで行なわれますが、スクリプトのsuidは有効となりません。exeシステムコールは、do_execve_common()がコールされ、引数のスクリプトファイルのfileをbprm->file = fileとし、prepare_binprm(struct linux_binprm *bprm)で、 bprm->cred->euid = inode->i_uidとした、bprmをsearch_binary_handler()で取得したコールバック関数の引数とし、そのローダの中でタスクcredが更新されます。従って、credのsuidはローダ依存となり、スクリプトローダは実装されて無いという事です。
ファイル先頭が#!なら、ファイルはスクリプトでload_script()がコールされます。bprm->buf[]には、そのデータが読み込まれています。先頭の#!以降のファイルをbprm->file = fileとし、prepare_binprm(bprm)でsuidを取得し、bprm->fileのローダを取得すべく、改めてsearch_binary_handler()をコールする事で、スクリプトファイルを引数とする#!コマンドを実行しますが、スクリプトのbprmでのcredの更新処理は行いません。
static int load_script(struct linux_binprm *bprm,struct pt_regs *regs) { const char *i_arg, *i_name; char *cp; struct file *file; char interp[BINPRM_BUF_SIZE]; int retval; if ((bprm->buf[0] != '#') || (bprm->buf[1] != '!') || (bprm->recursion_depth > BINPRM_MAX_RECURSION)) return -ENOEXEC; bprm->recursion_depth++; allow_write_access(bprm->file); fput(bprm->file); bprm->file = NULL; bprm->buf[BINPRM_BUF_SIZE - 1] = '\0'; if ((cp = strchr(bprm->buf, '\n')) == NULL) cp = bprm->buf+BINPRM_BUF_SIZE-1; *cp = '\0'; while (cp > bprm->buf) { cp--; if ((*cp == ' ') || (*cp == '\t')) *cp = '\0'; else break; } for (cp = bprm->buf+2; (*cp == ' ') || (*cp == '\t'); cp++); if (*cp == '\0') return -ENOEXEC; /* No interpreter name found */ i_name = cp; i_arg = NULL; for ( ; *cp && (*cp != ' ') && (*cp != '\t'); cp++) /* nothing */ ; while ((*cp == ' ') || (*cp == '\t')) *cp++ = '\0'; if (*cp) i_arg = cp; strcpy (interp, i_name); retval = remove_arg_zero(bprm); if (retval) return retval; retval = copy_strings_kernel(1, &bprm->interp, bprm); if (retval < 0) return retval; bprm->argc++; if (i_arg) { retval = copy_strings_kernel(1, &i_arg, bprm); if (retval < 0) return retval; bprm->argc++; } retval = copy_strings_kernel(1, &i_name, bprm); if (retval) return retval; bprm->argc++; bprm->interp = interp; file = open_exec(interp); if (IS_ERR(file)) return PTR_ERR(file); bprm->file = file; retval = prepare_binprm(bprm); if (retval < 0) return retval; return search_binary_handler(bprm,regs); }credを設定するローダは、install_exec_creds()をコールします。実装しているローダは、aout/elf/elf_fdpic/flat/somです。
void install_exec_creds(struct linux_binprm *bprm) { security_bprm_committing_creds(bprm); commit_creds(bprm->cred); bprm->cred = NULL; security_bprm_committed_creds(bprm); mutex_unlock(¤t->signal->cred_guard_mutex); }
補足
スクリプトからの起動は、2重のローダとなるわけで、/bin/bash等の#!の実行ファイルにsuidを設定する事で、suidが有効となるスクリプトを実装できます。ただし、スクリプトの記述下の各コマンドは、スクリプトのsuid権限で動作する事になり、一般権限のコマンドがroot権限で動作する事になり、セキュリティ的に問題となります。