Ich bin Root, ich darf das! So lautet einer der Lieblingssprüche von Linux-Nutzern auf T-Shirts, Kaffeetassen und anderen Fanartikeln. In der Tat verfügt Linux über ein relativ einfaches Rechtemanagement: Es gibt Root, den Benutzer und "die Anderen" sowie Rechte zum Lesen, Schreiben und Ausführen. Zugriffe kontrolliert das System über eine relativ einfache Matrix dieser Berechtigungen, und Root darf immer alles.
Es gibt allerdings Programme, die weitergehende Rechte benötigen, als sie einem durchschnittlichen Benutzer zustehen. Dazu zählen etwa der »passwd
«
-Befehl, der die Passwörter in der Datei »/etc/shadow
«
(oder »/etc/passwd
«
) ändert, oder der »ping
«
-Befehl, mit dem man die Netzwerkkarte eines anderen Rechners anspricht. Traditionellerweise verleiht der Systemadministrator solchen Tools über »chmod u+s
«
das Setuid-Bit. Das führt dazu, dass das Programm mit den Rechten des Benutzers arbeitet, dem die Datei gehört – normalerweise arbeiten Programme mit den Rechten des Ausführenden. Manche Programme kommen von Haus aus mit gesetztem S-Bit, je nach Distribution.
Die Wirkungsweise des S-Bits lässt sich an einem kleinen Beispiel leicht nachvollziehen. Geben Sie dazu in einem Terminal den Befehl »su - Benutzername
«
ein:
Rufen Sie nun in einem zweiten Terminalfenster den Befehl »ps -au | grep su
«
auf, so sehen Sie, dass der »su
«
-Befehl vom Benutzer root ausgeführt wurde. Während es beim »su
«
-Befehl noch relativ offensichtlich erscheint, warum er spezielle oder gar Root-Rechte benötigt, sieht es zum Beispiel bei »ping
«
ganz anders aus. Eigentlich würde es genügen, dem Ping-Befehl den Zugriff auf die entsprechenden Netzwerk-Socket zu gewähren – das ist aber mit traditionellen Unix-Rechten nicht möglich. Abhilfe schaffen die Posix-File-Capabilities.
Die Posix-File-Capabilities bilden einen Teil der allgemeinen Posix-Capabilities [1]. Sie teilen die möglichen Berechtigungen in verschiedene Rechtebereiche (Capabilities) auf, die zusammen die Rechte des Administrators Root ergeben. Zurzeit gibt es 33 solcher Rechtebereiche, die Tabelle "Posix-Capabilities" gibt einen kurzen Überblick. Während die grundlegenden Capabilities bereits seit Kernel 2.2 Bestandteil von Linux sind, beherrscht Linux die File-Capabilities erst seit Version 2.6.24. Detaillierte Informationen zu den einzelnen Fähigkeiten finden sich in der Datei »/usr/include/linux/capability.h
«
Auch bei den Posix-Access-Control-Listen (ACLs), die eine feingliedrige Rechteverteilung auf Verzeichnisse und Dateien ermöglichen, handelt es sich im weiteren Sinn um Posix-Capabilities; sie werden als erweiterte Attribute im Dateisystem abgelegt. Für den Einsatz von Posix-ACLs und File-Capabilities muss das Dateisystem deshalb mit der Option »user_xattr
«
eingehängt sein.
Tabelle 1
Posix-Capabilities
Nummer | Name | Erklärung |
---|---|---|
0 |
» |
Eigentümer von Files beliebig setzen |
1 |
» |
Sich über Dateizugriffsrechte hinwegsetzen (DAC, Discretionary Access Control), nur das Immutable-Flag ist davon nicht betroffen |
2 |
» |
In allen Files und Verzeichnissen lesen |
3 |
» |
Auf alle Files die Funktionen ausüben, die üblicherweise nur deren Eigentümern gestattet sind (etwa » |
4 |
» |
Set-UID-Flag auch für fremde Files setzen |
5 |
» |
Beliebigen Prozessen Signale senden |
6 |
» |
Beliebige Gruppen-ID annehmen |
7 |
» |
Beliebige User-ID annehmen |
8 |
» |
Eigene Capabilities an fremde Prozesse übertragen oder dort entfernen |
9 |
» |
Immutable- und Append-Only-Attribute ändern |
10 |
» |
Privilegierte Ports verwenden |
11 |
» |
Broadcast-Nachrichten senden und empfangen |
12 |
» |
Sammlung vieler Netzwerk-Konfigurationen (Interface, Firewall, Routing, Sockets, Promiscuous Mode setzen u.a.m..) |
13 |
» |
Sockets vom Typ Raw (IPv4-Pakete) und Packet (Ethernet-Frames) verwenden |
14 |
» |
Shared-Memory-Segmente sperren |
15 |
» |
Nachrichten per IPC (Interprozesskommunikation) an beliebige Prozesse senden |
16 |
» |
Kernel-Module laden und entladen, den Kernel beliebig ändern sowie Capabilities-Bounding-Sets ändern |
17 |
» |
Verwenden von » |
18 |
» |
» |
19 |
» |
Beliebige Prozesse mit » |
20 |
» |
Prozess-Accounting konfigurieren |
21 |
» |
Viele administrative Aufgaben, etwa Domain- und Hostnamen ändern, Dateisysteme ein- und aushängen, Swapping ein/<0x200B>ausschalten, Semaphore löschen uvm. |
22 |
» |
Das System per » |
23 |
» |
Die Priorität per » |
24 |
» |
Ressourcenlimits überschreiten, etwa Quota, reservierter Filesystemraum, Größenbeschränkungen bei IPC-Nachrichten etc.. |
25 |
» |
Die Systemzeit stellen |
26 |
» |
TTY-Geräte konfigurieren |
27 |
» |
Alle Funktionen von » |
28 |
» |
Dateien leasen (siehe » |
29 |
» |
Meldungen an das Audit-Subsystem senden |
30 |
» |
Audit-Subsystem per » |
31 |
» |
Posix-Capabilities im Extended Attribute » |
32 |
» |
Erlaubt es, zwingende Zugriffskontrollen (Mandatory Access Control, MAC) des Linux-Sicherheitsmoduls (LSM) zu überschreiben |
33 |
» |
Erlaubt administrativen Zugriff auf die zwingenden Zugriffskontrollen |
Wie erwähnt verfügt »ping
«
bei den meisten Distributionen von Haus aus über das Setuid-Bit. Um einem normalen Nutzer den Ping-Befehl zu ermöglichen, könnte der Administrator entweder den Zugriff auf die Netzwerk-Geräte über die typischen Unix-Dateirechte freigeben oder über die File-Capabilities genau das Feature freischalten, das der Ping-Befehl benötigt – in diesem Fall »CAP_NET_RAW
«
. Dann kann er auf das Setuid-Bit beim Ping-Befehl verzichten.