スクリプトのsuid
スクリプトもコマンド実行と同じくexeシステムコールで行なわれますが、スクリプトのsuidは有効となりません。
exeシステムコールは、do_execve_common()がコールされ、引数のスクリプトファイルのfileをbprm->file = fileとし、prepare_binprm(struct linux_binprm *bprm)で、 bprm->cred->euid = inode->i_uidとした、bprmをsearch_binary_handler()で取得したコールバック関数の引数とし、そのローダの中でタスクcredが更新されます。従って、credのsuidはローダ依存となり、スクリプトローダは実装されて無いという事です。
ファイル先頭が#!なら、ファイルはスクリプトでload_script()がコールされます。bprm->buf[]には、そのデータが読み込まれています。先頭の#!以降のファイルをbprm->file = fileとし、prepare_binprm(bprm)でsuidを取得し、bprm->fileのローダを取得すべく、改めてsearch_binary_handler()をコールする事で、スクリプトファイルを引数とする#!コマンドを実行しますが、その間、スクリプトのbprmでのcredの更新処理は行っていません。
ただし、スクリプトの記述下の各コマンドは、スクリプトのsuid権限で動作する事になり、一般権限のコマンドがroot権限で動作する事になり、セキュリティ的に問題となります。
exeシステムコールは、do_execve_common()がコールされ、引数のスクリプトファイルのfileをbprm->file = fileとし、prepare_binprm(struct linux_binprm *bprm)で、 bprm->cred->euid = inode->i_uidとした、bprmをsearch_binary_handler()で取得したコールバック関数の引数とし、そのローダの中でタスクcredが更新されます。従って、credのsuidはローダ依存となり、スクリプトローダは実装されて無いという事です。
ファイル先頭が#!なら、ファイルはスクリプトでload_script()がコールされます。bprm->buf[]には、そのデータが読み込まれています。先頭の#!以降のファイルをbprm->file = fileとし、prepare_binprm(bprm)でsuidを取得し、bprm->fileのローダを取得すべく、改めてsearch_binary_handler()をコールする事で、スクリプトファイルを引数とする#!コマンドを実行しますが、その間、スクリプトのbprmでのcredの更新処理は行っていません。
static int load_script(struct linux_binprm *bprm,struct pt_regs *regs)
{
const char *i_arg, *i_name;
char *cp;
struct file *file;
char interp[BINPRM_BUF_SIZE];
int retval;
if ((bprm->buf[0] != '#') || (bprm->buf[1] != '!') ||
(bprm->recursion_depth > BINPRM_MAX_RECURSION))
return -ENOEXEC;
bprm->recursion_depth++;
allow_write_access(bprm->file);
fput(bprm->file);
bprm->file = NULL;
bprm->buf[BINPRM_BUF_SIZE - 1] = '\0';
if ((cp = strchr(bprm->buf, '\n')) == NULL)
cp = bprm->buf+BINPRM_BUF_SIZE-1;
*cp = '\0';
while (cp > bprm->buf) {
cp--;
if ((*cp == ' ') || (*cp == '\t'))
*cp = '\0';
else
break;
}
for (cp = bprm->buf+2; (*cp == ' ') || (*cp == '\t'); cp++);
if (*cp == '\0')
return -ENOEXEC; /* No interpreter name found */
i_name = cp;
i_arg = NULL;
for ( ; *cp && (*cp != ' ') && (*cp != '\t'); cp++)
/* nothing */ ;
while ((*cp == ' ') || (*cp == '\t'))
*cp++ = '\0';
if (*cp)
i_arg = cp;
strcpy (interp, i_name);
retval = remove_arg_zero(bprm);
if (retval)
return retval;
retval = copy_strings_kernel(1, &bprm->interp, bprm);
if (retval < 0) return retval;
bprm->argc++;
if (i_arg) {
retval = copy_strings_kernel(1, &i_arg, bprm);
if (retval < 0) return retval;
bprm->argc++;
}
retval = copy_strings_kernel(1, &i_name, bprm);
if (retval) return retval;
bprm->argc++;
bprm->interp = interp;
file = open_exec(interp);
if (IS_ERR(file))
return PTR_ERR(file);
bprm->file = file;
retval = prepare_binprm(bprm);
if (retval < 0)
return retval;
return search_binary_handler(bprm,regs);
}
credを設定するローダは、install_exec_creds()をコールします。実装しているローダは、aout/elf/elf_fdpic/flat/somです。
void install_exec_creds(struct linux_binprm *bprm)
{
security_bprm_committing_creds(bprm);
commit_creds(bprm->cred);
bprm->cred = NULL;
security_bprm_committed_creds(bprm);
mutex_unlock(¤t->signal->cred_guard_mutex);
}
補足
スクリプトからの起動は、2重のローダとなるわけで、/bin/bash等の#!の実行ファイルにsuidを設定する事で、suidが有効となるスクリプトを実装できます。ただし、スクリプトの記述下の各コマンドは、スクリプトのsuid権限で動作する事になり、一般権限のコマンドがroot権限で動作する事になり、セキュリティ的に問題となります。
