Gọi một tập lệnh từ chương trình C gốc setuid - tập lệnh không chạy dưới dạng root

Question

Tôi cần chạy tập lệnh bash dưới dạng root (mật khẩu sudo hoặc su không khả thi) và vì bạn không thể thiết lập tập lệnh trong Linux, tôi đã nghĩ đến việc gọi nó từ một thực thi và làm nó setuid:

$ cat wrapper.c 
int main(void) 
{ 
     system("/bin/bash ./should_run_as_root.sh"); 
} 
$ gcc -o wrapper wrapper.c 
$ sudo chown root wrapper 
$ sudo chmod ug+s wrapper 
$ ll wrapper 
-rwsr-sr-x 1 root users 6667 2009-02-17 11:11 wrapper 
$ 

này hoạt động - như trong kịch bản chạy một cách chính xác - nhưng kịch bản chạy như những người dùng thực hiện "./wrapper".

Tại sao? Và làm thế nào để thực hiện chính xác điều này?

Cảm ơn!

Answer 1

Kể từ khi các bit suid về thực thi chỉ thay đổi UID hiệu quả (euid) thực thi sẽ chạy như, và không phải là UID thực (RUID) mà getuid() lợi nhuận, và thêm vào những hạn chế trên suid giải thích kịch bản (bất kỳ đầu thực thi với "#!"), một số vỏ như bash như một biện pháp an toàn bổ sung sẽ đặt EUID trở lại RUID trong trường hợp này, bạn sẽ cần sử dụng cuộc gọi setuid(0) trong mã C trước khi thực thi tập lệnh.

Xem man trang của setuid, seteuid, getuid, và geteuid để học ngữ nghĩa chính xác của UID thực và hiệu quả.

(CẢNH BÁO) Dĩ nhiên, đây là một điểm thích hợp để đề cập đến hạn chế về suid script trong nhiều hệ thống Unix, vỏ và phiên dịch, ở đó vì một lý do, đó là nếu kịch bản không phải là rất cẩn thận về việc khử trùng đầu vào của nó và trạng thái của môi trường khi nó được thực hiện, chúng nguy hiểm và có thể được khai thác để leo thang bảo mật. Vì vậy, hãy rất cẩn thận khi làm điều này. Đặt quyền truy cập vào tập lệnh và trình bao bọc của bạn một cách nghiêm ngặt nhất có thể, chỉ cho phép tập lệnh rất cụ thể này mà bạn dự định thực hiện và xóa môi trường trong chương trình C của bạn trước khi bắt đầu tập lệnh, thiết lập các biến môi trường chẳng hạn như PATH là cần thiết theo thứ tự đúng và không có thư mục nào có thể ghi được cho người khác.

Answer 2

Một điều cần lưu ý ở đây là giới hạn ở đây là từ bash chứ không phải chính hệ thống * nix. Bash thực sự thực hiện xác minh trên các kịch bản SUID để chỉ thực hiện chúng với gốc EUID. Nếu bạn có vỏ cũ hơn, bạn thường sẽ có được những gì bạn muốn ra khỏi hộp. Ví dụ, sh không làm cho loại này xác minh:

$ cat wrapper.c 
int main(void) 
{ 
      system("/bin/sh -c whoami"); 
} 

$ ls -l wrapper 
-rwsr-sr-x 1 root users 8887 Feb 17 14:15 wrapper 
$ ./wrapper 
root 

Với bash:

$ cat wrapper.c 
int main(void) 
{ 
      system("/bin/bash -c whoami"); 
} 

$ ls -l wrapper 
-rwsr-sr-x 1 root users 8887 Feb 17 14:18 wrapper 
$ ./wrapper 
skinp 

Tuy nhiên, câu trả lời của Tom nói chung là con đường để đi để thực hiện một wrapper cho các chương trình SUID root

Answer 3

Thêm setuid (0) vào tập lệnh và tuân thủ. Nó shoudl làm việc sau này.

$ cat wrapper.c 
int main(void) 
{ 
     setuid(0); 
     system("/bin/bash ./should_run_as_root.sh"); 
} 
$ gcc -o wrapper wrapper.c 
$ sudo chown root wrapper 
$ sudo chmod ug+s wrapper 
$ ll wrapper 
-rwsr-sr-x 1 root users 6667 2009-02-17 11:11 wrapper 
$ 

Answer 4

Tại sao sudo không thể thực hiện được?Nó tránh hoành lỗ hổng bảo mật như:

bash-3.2$ cat test 
#!/bin/bash 
echo ima shell script durp durp 
bash-3.2$ chmod +x test 
bash-3.2$ ./test 
heh heh 
bash-3.2$ 

Do môi trường không được vệ sinh đúng cách, ví dụ như trong trường hợp này:

export echo='() { builtin echo heh heh; }' 

sudo sanitizes trường hợp này, và các trường hợp cạnh có lẽ khác và gotchas rằng cũng sẽ không viết vào một wrapper suid tùy chỉnh.

Answer 5

Các ví dụ là không an toàn khủng khiếp và cho phép bất kỳ ai có hai bit kiến ​​thức để chạy bất kỳ chương trình nào họ muốn làm người dùng setuid.

Không bao giờ đi qua vỏ trừ khi bạn khử trùng môi trường trước, hầu hết các ví dụ được hiển thị ở đây đều dễ bị IFS và PATH đặt trước khi chạy.