スクリプトのsuid


スクリプトもコマンド実行と同じくexeシステムコールで行なわれますが、スクリプトのsuidは有効となりません。

exeシステムコールは、do_execve_common()がコールされ、引数のスクリプトファイルのfileをbprm->file = fileとし、prepare_binprm(struct linux_binprm *bprm)で、 bprm->cred->euid = inode->i_uidとした、bprmをsearch_binary_handler()で取得したコールバック関数の引数とし、そのローダの中でタスクcredが更新されます。従って、credのsuidはローダ依存となり、スクリプトローダは実装されて無いという事です。

ファイル先頭が#!なら、ファイルはスクリプトでload_script()がコールされます。bprm->buf[]には、そのデータが読み込まれています。先頭の#!以降のファイルをbprm->file = fileとし、prepare_binprm(bprm)でsuidを取得し、bprm->fileのローダを取得すべく、改めてsearch_binary_handler()をコールする事で、スクリプトファイルを引数とする#!コマンドを実行しますが、その間、スクリプトのbprmでのcredの更新処理は行っていません。
static int load_script(struct linux_binprm *bprm,struct pt_regs *regs)
{
       const char *i_arg, *i_name;
       char *cp;
       struct file *file;
       char interp[BINPRM_BUF_SIZE];
       int retval;

       if ((bprm->buf[0] != '#') || (bprm->buf[1] != '!') ||
           (bprm->recursion_depth > BINPRM_MAX_RECURSION))
               return -ENOEXEC;

       bprm->recursion_depth++;
       allow_write_access(bprm->file);
       fput(bprm->file);
       bprm->file = NULL;

       bprm->buf[BINPRM_BUF_SIZE - 1] = '\0';
       if ((cp = strchr(bprm->buf, '\n')) == NULL)
               cp = bprm->buf+BINPRM_BUF_SIZE-1;
       *cp = '\0';
       while (cp > bprm->buf) {
               cp--;
               if ((*cp == ' ') || (*cp == '\t'))
                       *cp = '\0';
               else
                       break;
       }
       for (cp = bprm->buf+2; (*cp == ' ') || (*cp == '\t'); cp++);
       if (*cp == '\0') 
               return -ENOEXEC; /* No interpreter name found */
       i_name = cp;
       i_arg = NULL;
       for ( ; *cp && (*cp != ' ') && (*cp != '\t'); cp++)
               /* nothing */ ;
       while ((*cp == ' ') || (*cp == '\t'))
               *cp++ = '\0';
       if (*cp)
               i_arg = cp;
       strcpy (interp, i_name);

       retval = remove_arg_zero(bprm);
       if (retval)
               return retval;
       retval = copy_strings_kernel(1, &bprm->interp, bprm);
       if (retval < 0) return retval; 
       bprm->argc++;
       if (i_arg) {
               retval = copy_strings_kernel(1, &i_arg, bprm);
               if (retval < 0) return retval; 
               bprm->argc++;
       }
       retval = copy_strings_kernel(1, &i_name, bprm);
       if (retval) return retval; 
       bprm->argc++;
       bprm->interp = interp;

       file = open_exec(interp);
       if (IS_ERR(file))
               return PTR_ERR(file);

       bprm->file = file;
       retval = prepare_binprm(bprm);
       if (retval < 0)
               return retval;
       return search_binary_handler(bprm,regs);
}
credを設定するローダは、install_exec_creds()をコールします。実装しているローダは、aout/elf/elf_fdpic/flat/somです。
void install_exec_creds(struct linux_binprm *bprm)
{
       security_bprm_committing_creds(bprm);

       commit_creds(bprm->cred);
       bprm->cred = NULL;

       security_bprm_committed_creds(bprm);
       mutex_unlock(&current->signal->cred_guard_mutex);
}

補足

スクリプトからの起動は、2重のローダとなるわけで、/bin/bash等の#!の実行ファイルにsuidを設定する事で、suidが有効となるスクリプトを実装できます。

ただし、スクリプトの記述下の各コマンドは、スクリプトのsuid権限で動作する事になり、一般権限のコマンドがroot権限で動作する事になり、セキュリティ的に問題となります。


最終更新 2015/07/06 15:40:58 - north
(2015/07/06 15:36:47 作成)


検索

アクセス数
3676135
最近のコメント
コアダンプファイル - sakaia
list_head構造体 - yocto_no_yomikata
勧告ロックと強制ロック - wataash
LKMからのファイル出力 - 重松 宏昌
kprobe - ななし
ksetの実装 - スーパーコピー
カーネルスレッドとは - ノース
カーネルスレッドとは - nbyst
asmlinkageってなに? - ノース
asmlinkageってなに? - よろしく
Adsense
広告情報が設定されていません。