Como fakeroot não é uma violação de segurança no Linux?

Até agora, o que posso perceber é que fakeroot é usado para dar propriedade a um arquivo que precisa ser root quando é descompactado/tar'ed. Minha pergunta é por que você não pode fazer isso com chown?

Porque você não pode fazer isso com chown, pelo menos não como um usuário não root. (E se você estiver executando como root, você não precisa fakerootde .) Esse é o ponto principal de fakeroot: permitir que programas que esperam ser executados como root sejam executados como um usuário normal, enquanto finge que as operações que requerem root são bem-sucedidas.

Isso é usado normalmente ao compilar um pacote, para que o processo de instalação do pacote que está sendo instalado possa prosseguir sem erros (mesmo que execute chown root:root, ou install -o root, etc.). fakerootlembra a propriedade falsa que fingiu dar aos arquivos, então as operações subsequentes que analisam a propriedade veem isso em vez da real; isso permite que execuções subsequentes tar, por exemplo, armazenem arquivos como pertencentes ao root.

Como o fakeroot interrompe os escalonamentos de privilégios indesejados no Linux? Se o fakeroot pode enganar o tar para criar um arquivo que pertence ao root, por que não fazer algo semelhante com o SUID?

fakerootnão engana tarpara fazer nada, ele preserva as alterações que a compilação deseja fazer sem permitir que essas alterações entrem em vigor no sistema que hospeda a compilação. Você não precisa fakerootproduzir um tarball contendo um arquivo de propriedade de root e suid; se você tiver um binário evilbinary, executando tar cf evil.tar --mode=4755 --owner=root --group=root evilbinary, como um usuário comum, criará um tarball contendo evilbinary, pertencente ao root e suid. No entanto, você não poderá extrair esse tarball e preservar essas permissões a menos que o faça como root: não há escalação de privilégios aqui. fakerooté um privilégio de-ferramenta de escalação: permite que você execute uma compilação como um usuário comum, preservando os efeitos que a compilação teria se tivesse sido executada como root, permitindo que esses efeitos fossem reproduzidos posteriormente. Aplicar os efeitos “de verdade” sempre requer privilégios de root; fakerootnão fornece nenhum método de adquiri-los.

Para entender o uso de fakerootmais detalhadamente, considere que uma compilação de distribuição típica envolve as seguintes operações (entre muitas outras):

• instalar arquivos, de propriedade do root
• ...
• arquivar esses arquivos, ainda de propriedade do root, para que, quando forem extraídos, sejam de propriedade do root

A primeira parte obviamente falha se você não for root. No entanto, ao executar sob fakeroot, como um usuário normal, o processo se torna

• instalar arquivos, de propriedade do root - isso falha, mas fakerootfinge que foi bem-sucedido e lembra a propriedade alterada
• ...
• arquivar esses arquivos, ainda de propriedade do root - quando tar(ou qualquer arquivador que estiver sendo usado) pergunta ao sistema qual é a propriedade do arquivo, fakerootaltera a resposta para corresponder à propriedade registrada anteriormente

Assim, você pode executar uma compilação de pacote sem ser root, enquanto obtém os mesmos resultados que obteria se estivesse realmente executando como root. Usar fakerooté mais seguro: o sistema ainda não pode fazer nada que seu usuário não possa fazer, então um processo de instalação não autorizado não pode danificar seu sistema (além de tocar em seus arquivos).

No Debian, as ferramentas de compilação foram aprimoradas para não exigir mais isso, e você pode compilar pacotes semfakeroot . Isso é suportado dpkgdiretamente com a Rules-Requires-Rootdiretiva (consulte Recursos rootless-builds.txt).

Para entender o propósito do fakeroot, e os aspectos de segurança da execução como root ou não, pode ser útil considerar o propósito do empacotamento. Ao instalar um software da fonte, para uso em todo o sistema, você procede da seguinte forma:

1. construir o software (o que pode ser feito sem privilégios)
2. instale o software (que precisa ser feito como root, ou pelo menos como um usuário com permissão para gravar nos locais apropriados do sistema)

Ao empacotar um software, você está atrasando a segunda parte; mas para fazer isso com sucesso, você ainda precisa “instalar” o software no pacote e não no sistema. Então, quando você empacota software, o processo se torna:

1. construir o software (sem privilégios especiais)
2. fingir instalar o software (novamente sem privilégios especiais)
3. capturar a instalação do software como um pacote (idem)
4. disponibilizar o pacote (idem)

Agora, um usuário conclui o processo instalando o pacote, que precisa ser feito como root (ou, novamente, um usuário com os privilégios apropriados para gravar nos locais apropriados). É aqui que o processo privilegiado atrasado é realizado e é a única parte do processo que precisa de privilégios especiais.

fakerootajuda nas etapas 2 e 3 acima, permitindo-nos executar processos de instalação de software e capturar seu comportamento, sem executar como root.

NÃO. O root falso permite que você execute ferramentas de manipulação de permissão e relatórios, ele relatará de forma consistente. No entanto, ele não concederá essas permissões. Vai parecer que você os tem (falsos). Não vai mudar nada fora do ambiente.

É útil, se você quiser criar uma estrutura de diretórios, que contenha propriedade e permissões, que não possam ser definidas pelo seu usuário, então você irá tar, zip ou outro pacote.

Ele realmente não eleva as permissões, é falso. Ele não permite que você faça nada (excluir, escrever, ler) que você não poderia fazer de outra forma. Você poderia produzir o pacote (em teoria) sem ele. Você pode obter um relatório falso ( ls) sem ele.

Não é uma falha de segurança, pois não permite acesso, ou qualquer coisa que você não possa fazer sem ela. Ele é executado sem privilégios. Tudo o que ela faz é interceptar chamadas para chown, chmod, etc. Isso as torna uma não operação, exceto pelo fato de registrar o que teria acontecido. Ele também intercepta chamadas para statetc. para que reporte permissões e propriedade, de seu próprio banco de dados interno, como se os outros comandos tivessem sido executados. Isso é útil, porque se você compactar o diretório, ele terá as permissões falsas. Se você descompactar, como root, as permissões se tornarão reais.

Quaisquer arquivos que não sejam legíveis/graváveis ​​antes permanecerão não legíveis/graváveis. Quaisquer arquivos especiais (por exemplo, dispositivos) criados não terão poderes especiais. Qualquer set-uid (para outro usuário), os arquivos não serão set-uid. Qualquer outro escalonamento de privilégios não funcionará.

É um tipo de máquina virtual: Uma máquina virtual, em geral, pode simular qualquer ambiente/SO, mas não pode fazer nada ao host, que qualquer outro aplicativo não poderia fazer. Dentro da máquina virtual, você pode parecer fazer qualquer coisa. Você pode reinventar o sistema de segurança para ser igual ou diferente, porém tudo isso existirá no host, como recursos de propriedade do usuário/grupo do processo que executa o ambiente virtual.

Já existem duas respostas boas e muito detalhadas aqui, mas vou apenas apontar que o parágrafo introdutório da página de manual ¹ original na verdade explica de forma bastante clara e concisa:fakeroot

fakeroot executa um comando em um ambiente em que parece ter privilégios de root para manipulação de arquivos. Isso é útil para permitir que os usuários criem arquivos (tar, ar, .deb etc.) com arquivos neles com permissões/propriedade de root. Sem fakeroot , seria necessário ter privilégios de root para criar os arquivos constituintes dos arquivos com as permissões e propriedade corretas e, em seguida, empacotá-los, ou teria que construir os arquivos diretamente, sem usar o arquivador.

Fakeroot permite que um usuário não root crie arquivos contendo arquivos de propriedade root, o que é uma parte crítica da geração e distribuição de pacotes de software binários no Linux. Sem fakeroot, os arquivos de pacote teriam que ser gerados durante a execução como root real, para que eles contenham a propriedade e as permissões corretas do arquivo. Isso seria um risco de segurança. Construir e empacotar software potencialmente não confiável é uma grande exposição se feito com privilégios de root. Graças a fakeroot, um usuário sem privilégios com arquivos sem privilégios ainda pode gerar arquivos contendo arquivos com propriedade root. ²

Mas não é um risco de segurança, porque nada no arquivo é realmente de propriedade do root até que os arquivos sejam EXTRAÍDOS . E mesmo assim, os arquivos só serão extraídos com suas permissões de root intactas se for feito por um usuário privilegiado. Essa etapa - onde um fakerootarquivo assistido contendo arquivos "raiz" é extraído por um usuário privilegiado - é onde a raiz "falsa" finalmente se torna real. Até esse ponto, nenhum privilégio de root real é obtido ou ignorado.

Notas

1. O Fakeroot gerou alguns concorrentes/imitadores que se disfarçarão como fakerootse estivessem instalados, incluindo fakeroot-nge pseudo. Mas IMHO nem a página de manual do "imitador" é quase tão clara sobre ir direto ao ponto nesta questão. Fique com o original, um e único fakerootOG

2. Outras distribuições/sistemas de pacotes superam isso simplesmente não usando a propriedade do root em seus arquivos de pacotes. No Fedora, por exemplo, o software pode ser compilado, instalado e empacotado por um usuário sem privilégios sem exigir fakeroot. Tudo é feito dentro do $HOME/rpmbuild/espaço do usuário e etapas normalmente privilegiadas como make installser redirecionado (através de mecanismos como --prefixe DESTDIR) para uma $HOME/rpmbuild/BUILDROOT/hierarquia que pode ser considerada uma espécie de espaço "fakechroot" (sem realmente usar fakechroot).

   Mas mesmo durante make install, tudo é executado como e de propriedade do usuário sem privilégios. A propriedade e as permissões do arquivo extraído serão definidas como root,roote 0644(ou 0755para executáveis) por padrão, a menos que sejam substituídas no arquivo de definição do pacote ( .spec), caso em que serão armazenados como metadados no pacote final. Como nenhuma permissão ou propriedade é realmente aplicada até o processo de instalação (privilegiado) do pacote rpm, nem root nem fakerootsão necessários durante o empacotamento. Mas fakerooté realmente apenas um caminho diferente para esse mesmo resultado.