Início / unix / Perguntas / 493583
Accepted
Greg Nisbet
Asked: 2019-01-10 16:48:08 +0800 CST

executável suid não eleva as permissões, mas o `sudo` eleva

  • 772

Estou tentando escrever um programa que desligue rapidamente um laptop sem solicitar uma senha ou confirmação. O laptop está rodando Linux, especificamente Manjaro.

Para esse fim, estou tentando fazer um setuidexecutável chamado downnowque executa shutdowncom argumentos fixos (e também gera um shell). Estou usando systemaqui apenas para manter o programa curto, é uma péssima ideia do ponto de vista da segurança.

// downnow.c
#include <stdlib.h>

int main() {
  system("shutdown --no-wall --halt now");
  return 0;
}

então eu compilei downnow, movi para /bin, mudei seu dono e dei as permissões setuid e setgid:

$ sudo chown root /bin/downnow 

$ sudo chgrp root /bin/downnow 

$ sudo chmod u+s /bin/downnow 

$ sudo chmod g+s /bin/downnow

No entanto, quando tento executar downnowcomo usuário sem privilégios, ele não pode se comunicar com o systemd.

$ downnow 
Failed to halt system via logind: Interactive authentication required.
Failed to talk to init daemon.

Recebo a mesma mensagem antes e depois de ch{own,grp,mod}ing.

statrelata as mesmas permissões em /bin/downnowe /usr/bin/sudo.

$ stat /bin/downnow 
  File: /bin/downnow
  Size: XXXX        Blocks: XX         IO Block: XXXX   regular file
Device: XXXXX/XXXXX Inode: XXXXXX     Links: 1
Access: (6755/-rwsr-sr-x)  Uid: (    0/    root)   Gid: (    0/    root)

$ stat /usr/bin/sudo
  File: /usr/bin/sudo
  Size: XXXXXX      Blocks: XXX        IO Block: XXXX   regular file
Device: XXXXX/XXXXX Inode: XXXXXXX     Links: 1
Access: (4755/-rwsr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)

Por que pode downnowdeixar de elevar seus privilégios quando sudofunciona perfeitamente?

setuid

2 respostas

  1. Definir o bit de permissão apenas permite que seu aplicativo use a setuidchamada e, por si só, não altera suas permissões. Para fazer isso, você precisa definir o uid com setuid(uid_t uid). Veja a página do manual para detalhes: https://linux.die.net/man/2/setuid

    Você pode usar geteuid()para obter o uid efetivo atual (ou seja, o proprietário do arquivo com a permissão setuid). Veja a página do manual: https://linux.die.net/man/2/geteuid

    Exemplo:

    // downnow.c
#include <stdlib.h>
#include <unistd.h>

int main() {
  setuid(geteuid());
  system("shutdown --no-wall --halt now");
  return 0;
}
    • 2
  2. Best Answer

    Provavelmente devido à falta de uma setuid(2)chamada. Aqui está um antes e depois em torno de tal chamada:

    #include <err.h>
#include <stdio.h>
#include <unistd.h>

#define GETUIDS(p) (p[0]=getuid(),p[1]=geteuid())

int main(void)
{
    uid_t ids[2];
    GETUIDS(ids);
    fprintf(stderr, "real %lu effective %lu\n", (unsigned long) ids[0],
            (unsigned long) ids[1]);
    if (setuid(0) == -1)
        err(1, "setuid failed");
    GETUIDS(ids);
    fprintf(stderr, "real %lu effective %lu\n", (unsigned long) ids[0],
            (unsigned long) ids[1]);
    return 0;
}

    Além disso, seu wrapper não é realmente seguro; espero que não escape para sistemas multiusuários. Provavelmente seria muito mais seguro evitar a chamada desnecessária do shell (a menos que você goste de vulnerabilidades do tipo shellshock ou o tratamento estranho de variáveis ​​de ambiente duplicadas por, digamos, bash...) e, em vez disso, use uma exec(3)chamada para substituir seu processo shutdowndiretamente:

    #include <err.h>
#include <unistd.h>

int main()
{
    if (setuid(0) == -1)
        err(1, "setuid failed");
    //execl("/usr/bin/echo", "echo", "--no-wall", "--halt", "now",
    execl("/usr/sbin/shutdown", "shutdown", "--no-wall", "--halt", "now",
          (char *) 0);
    err(1, "exec failed");
    return 1;
}

    Alguns desligamentos acidentais depois...

    centos7# make badcode
cc     badcode.c   -o badcode
centos7# mv badcode /badcode
centos7# chmod u+s /badcode
centos7# su - jhqdoe
Last login: Thu Jan 10 01:39:03 UTC 2019 on pts/0
[jhqdoe@centos7 ~]$ /badcode
Connection to 192.168.99.2 closed by remote host.
Connection to 192.168.99.2 closed.
    • 1

relate perguntas