.. SPDX-License-Identifier: GPL-2.0
.. include:: ../disclaimer-zh_CN.rst
:Original: Documentation/security/credentials.rst
:翻译:
赵硕 Shuo Zhao <zhaoshuo@cqsoftware.com.cn>
=============
Linux中的凭据
=============
作者: David Howells <dhowells@redhat.com>
.. contents:: :local:
概述
====
当一个对象对另一个对象进行操作时,Linux执行的安全检查包含几个部分:
1. 对象
对象是可以直接由用户空间程序操作的系统中的实体。Linux具有多种可操作
的对象,包括:
- 任务
- 文件/索引节点
- 套接字
- 消息队列
- 共享内存段
- 信号量
- 密钥
所有这些对象的描述的一部分是一组凭据。集合中的内容取决于对象的类型。
2. 对象所有权
大多数对象的凭据中会有一个子集用来表示该对象的所有权。
这用于资源核算和限制(如磁盘配额和任务资源限制)。
例如,在标准的UNIX文件系统中,这将由标记在索引节点上的UID定义。
3. 对象上下文
此外在这些对象的凭据中,将有一个子集表示对象的“对象上下文”。
这可能与(2)中相同,也可能不同 —— 例如,在标准的UNIX文件中,
这是由标记在索引节点上的UID和GID定义的。
对象上下文是进行安全计算的一部分,当对象被操作时会用到。
4. 主体
主体是正在对其他对象执行操作的对象。
系统中的大多数对象是不活动的:他们不会对系统中的其他对象起作用。
进程/任务是明显的例外:它们可以访问和操纵其他对象。
任务之外的其他对象在某些情况下也可以是主体。例如,打开的文件可以使用
名为 ``fcntl(F_SETOWN)`` 的任务给它的UID和EUID向一个任务发送SIGIO
信号。在这种情况下,文件结构也会有一个主体上下文。
5. 主体上下文
主体对其凭据有一个额外的解释。其凭据的一个子集形成了“主体上下文”。主体
上下文在主体执行操作时作为安全计算的一部分使用。
例如,Linux任务在操作文件时会有FSUID、FSGID和附加组列表 —— 这些凭据
与通常构成任务的对象上下文的真实UID和GID是相互独立的。
6. 操作
Linux提供许多操作,主体可以对对象执行这些操作。可用的操作集取决于主体
和对象的性质。
操作包括读取、写入、创建和删除文件,以及派生(forking)或发送
信号(signalling)和跟踪(tracing)任务等。
7. 规则,访问控制列表和安全计算
当主体对对象进行操作时,会进行安全计算。这涉及到使用主体上下文、对象
上下文和操作,并搜索一个或多个规则集,以确定在给定这些上下文的情况下,
主体是否被授予或拒绝以所需方式对对象进行操作的权限。
主要有两个规则来源:
a. 自主访问控制(DAC):
有时,对象的描述中会包含一组规则。这就是所谓的“访问控制列表”或‘ACL’。
一个Linux文件可以提供多个ACL。
例如,传统的UNIX文件包括一个权限掩码,它是一个简化的ACL,具有三个固定的
主体类别(“用户”、“组”和“其他”),每一个都可以被授予一定的特权(如“读取”、
“写入”和“执行” —— 无论这些映射对于对象意味着什么)。然而,UNIX文件权限不
允许任意指定主体,因此用途有限。
Linux文件还可以支持POSIX ACL。这是一个规则列表,为任意主体授予各种权限。
b. 强制访问控制(MAC):
整个系统可能有一个或多个规则集,适用于所有主体和对象,不考虑它们的来源。
SELinux和Smack就是这种情况的例子。
在SELinux和Smack的情况下,每个对象在其凭据中都被赋予一个标签。当请求执
行操作时,它们使用主体标签、对象标签和操作,寻找一个规则,该规则表示此操
作是授予还是拒绝的。
凭据类型
========
Linux内核支持以下类型的凭据:
1. 传统的UNIX凭据。
- 真实用户ID
- 真实组ID
UID和GID由大多数(如果不是全部)Linux对象携带,即使有时它们需要被虚构出
来(例如FAT或CIFS文件,这些文件来源于Windows)。这些(通常)定义了该对象
的对象上下文,但任务在某些情况下略有不同。
- 有效用户ID,保存用户ID和FS用户ID
- 有效组ID,保存组ID和FS组ID
- 补充组
这些是仅由任务使用的额外凭据。通常,一个EUID/EGID/GROUPS 被用作主体上下文,
而真实UID/GID 被用作对象上下文。对于任务,这并不总是正确的。
2. 能力
- 允许的能力集合
- 可继承的能力集合
- 有效的能力集合
- 能力边界集合
这些仅由任务携带,表示授予任务的超出普通任务权限的能力。这些可以通过传统
UNIX凭据的更改进行隐式操作,但也可以通过 ``capset()`` 系统调用直接操作。
允许的能力是指进程可以通过 ``capset()`` 将其添加到其有效或允许集合中的
那些能力。这个可继承的集合也可能受到这样的限制。
有效能力是任务本身实际可以使用的能力。
可继承能力是那些可以通过 ``execve()`` 传递的能力。
边界集限制了通过 ``execve()`` 继承的能力,特别是在以UID 0执行二进制文件时。
3. 安全管理标记(securebits)
它们用于控制上述凭据在特定操作如execve()中的操作和继承方式。它们并不直接
用作对象或主体凭据使用。
4. 密钥和密钥环
这些仅由任务携带。它们用于携带和缓存不适合放入其他标准UNIX凭据中的安全令牌。
它们用诸如使网络文件系统密钥在进程执行的文件访问时可用,而无需让普通程序了解
涉及的安全细节。
密钥环是一种特殊类型的密钥。它们携带一组其他密钥,并可以搜索来查找所需的密钥。
每个进程可以订阅多个密钥环:
每线程密钥
每进程密钥环
每会话密钥环
当进程访问一个密钥时,若尚不存在,则通常会将其缓存在一个密钥环中,以便将来的
访问时找到该密钥。
有关密钥的更多信息,请参见 ``Documentation/translations/zh_CN/security/keys/*`` 。
5. LSM
Linux安全模块允许在任务执行操作时施加额外的控制。目前,Linux支持几种LSM选项。
一些工作通过标记系统中的对象,并应用一组规则(策略)说明某个标签的任务可以对
另一标签的对象执行哪些操作。
6. AF_KEY
这是一种基于套接字网络协议栈中的凭据管理[RFC 2367]。本文档中没有讨论它,因为不
直接与任务和文件凭据进行交互,而是保留了系统级的凭据。
当打开一个文件时,打开任务的主体上下文的一部分会记录在创建的文件结构中。
这使得使用该文件结构的操作可以使用这些凭据,而不是发出操作的任务的主体上下文。
一个例子是在网络文件系统上打开的文件,打开文件的凭据应该被呈现给服务器,而不管
实际进行读取或写入操作的是谁。
文件标记
========
存储在磁盘上或通过网络获取的文件可能具有注释,构成该文件的对象安全上下文。
根据文件系统的类型,这些注释可能包括以下一项或多项:
* UNIX UID, GID, mode;
* Windows user ID;
* Access control list;
* LSM security label;
* UNIX exec privilege escalation bits (SUID/SGID);
* File capabilities exec privilege escalation bits.
将这些与任务的主体安全上下文进行比较,并根据比较结果允许或禁止执行某些操作。
在execve()的情况下,特权提升位起作用,并且可能允许由可执行文件的注释决定的
进程获得额外的特权。
任务凭据
========
在Linux中,一个任务的所有凭据都保存在一个引用计数结构体‘struct cred’中,
通过(uid, gid)或(groups, keys, LSM security)进行访问。每个任务在其
task_struct中通过一个名为‘cred’的指针指向其凭据。
一旦一组凭据已经准备好并提交,除非以下几种情况,否则不能更改:
1. 其引用计数可以更改;
2. 它所指向的 group_info 结构体的引用计数可以更改;
3. 它所指向的安全数据的引用计数可以更改;
4. 它所指向的任何密钥环的引用计数可以更改;
5. 它所指向的任何密钥环可以被撤销、过期或其安全属性可以更改;
6. 它所指向的任何密钥环的内容可以更改(密钥环的整个目的就是作为一组共享凭据,
可由具有适当访问权限的任何人修改)。
要更改cred结构体中的任何内容,必须遵循复制和替换的原则。首先进行复制,然后修
改副本,最后使用RCU(读-复制-更新)将任务指针更改为指向新的副本。有一些封装可
用于帮助执行这个过程(见下文)。
一个任务只能修改自己的凭据;不再允许一个任务修改另一个任务的凭据。
这意味着 ``capset()`` 系统调用不再允许使用除当前进程之外的任何PID。
此外, ``keyctl_instantiate()`` 和 ``keyctl_negate()`` 函数也不再
允许在请求进程中附加到特定于进程的密钥环,因为实例化进程可能需要创建它们。
不可变凭据
----------
一旦一组凭据已经被公开(例如通过调用 ``commit_creds()`` ),必须将其视为
不可变的,除了两个例外情况:
1. 引用计数可以被修改。
2. 虽然无法更改一组凭据的密钥环订阅,但订阅的密钥环的内容可以被更改。
为了在编译时捕获意外的凭据修改,struct task_struct具有_const_指针指向其凭据集,
struct file也是如此。此外,某些函数如 ``get_cred()`` 和 ``put_cred()`` 在
const指针上操作,因此不需要进行类型转换,但需要临时放弃const限定,以便能够修改
引用计数。
访问任务凭据
------------
任务只能修改自己的凭据,允许当前进程可以读取或替换自己的凭据,无需任何形式锁定的
情况下 —— 这极大简化了事情。它可以调用::
const struct cred *current_cred()
获取指向其凭据结构的指针,并且之后不必释放它。
有一些方便的封装用于检索任务凭据的特定方面(在每种情况下都只返回值)::
uid_t current_uid(void) Current's real UID
gid_t current_gid(void) Current's real GID
uid_t current_euid(void) Current's effective UID
gid_t current_egid(void) Current's effective GID
uid_t current_fsuid(void) Current's file access UID
gid_t current_fsgid(void) Current's file access GID
kernel_cap_t current_cap(void) Current's effective capabilities
struct user_struct *current_user(void) Current's user account
还有一些方便的封装,用于检索任务凭据的特定关联对::
void current_uid_gid(uid_t *, gid_t *);
void current_euid_egid(uid_t *, gid_t *);
void current_fsuid_fsgid(uid_t *, gid_t *);
在从当前任务的凭据中检索后,通过其参数返回这些值对。
此外,还有一个函数用于获取当前进程的当前凭据集的引用::
const struct cred *get_current_cred(void);
以及用于获取对一个实际上不存在于struct cred中的凭据的引用的函数::
struct user_struct *get_current_user(void);
struct group_info *get_current_groups(void);
分别获得对当前进程的 user accounting structure 和补充组列表的引用。
一旦获得引用,就必须使用 ``put_cred()``, ``free_uid()`` 或
``put_group_info()`` 来适当释放它。
访问其他任务的凭据
------------------
虽然一个任务可以在不需要锁定的情况下访问自己的凭据,但想要访问另一个任务
的凭据的任务并非如此。它必须使用RCU读锁和 ``rcu_dereference()``。
``rcu_dereference()`` 是由::
const struct cred *__task_cred(struct task_struct *task);
这应该在RCU读锁中使用,如下例所示::
void foo(struct task_struct *t, struct foo_data *f)
{
const struct cred *tcred;
...
rcu_read_lock();
tcred = __task_cred(t);
f->uid = tcred->uid;
f->gid = tcred->gid;
f->groups = get_group_info(tcred->groups);
rcu_read_unlock();
...
}
如果需要长时间持有另一个任务的凭据,并且可能在此过程中休眠,则调用方
应该使用以下函数来获取对这些凭据的引用::
const struct cred *get_task_cred(struct task_struct *task);
这个函数内部完成了所有的RCU操作。当使用完这些凭据时,调用方必须调用put_cred()
函数释放它们。
.. note::
``__task_cred()`` 的结果不应直接传递给 ``get_cred()`` ,
因为这可能与 ``commit_cred()`` 发生竞争条件。
还有一些方便的函数可以访问另一个任务凭据的特定部分,将RCU操作对调用方隐藏起来::
uid_t task_uid(task) Task's real UID
uid_t task_euid(task) Task's effective UID
如果调用方在此时已经持有RCU读锁,则应使用::
__task_cred(task)->uid
__task_cred(task)->euid
类似地,如果需要访问任务凭据的多个方面,应使用RCU读锁,调用 ``__task_cred()``
函数,将结果存储在临时指针中,然后从临时指针中调用凭据的各个方面,最后释放锁。
这样可以防止多次调用昂贵的RCU操作。
如果需要访问另一个任务凭据的其他单个方面,可以使用::
task_cred_xxx(task, member)
这里的‘member’是cred结构体的非指针成员。例如::
uid_t task_cred_xxx(task, suid);
将从任务中检索‘struct cred::suid’,并执行适当的RCU操作。对于指针成员,
不能使用这种形式,因为它们指向的内容可能在释放RCU读锁的瞬间消失。
修改凭据
--------
如先前提到的,一个任务只能修改自己的凭据,不能修改其他任务的凭据。这意味
着它不需要使用任何锁来修改自己的凭据。
要修改当前进程的凭据,函数应首先调用::
struct cred *prepare_creds(void);
这将锁定current->cred_replace_mutex,然后分配并构建当前进程凭据的副本。
如果成功,函数返回时仍然保持互斥锁。如果不成功(内存不足),则返回NULL。
互斥锁防止 ``ptrace()`` 在进行凭据构建和更改的安全检查时更改进程的ptrace
状态,因为ptrace状态可能会改变结果,特别是在 ``execve()`` 的情况下。
新的凭据集应适当地进行修改,并进行任何安全检查和挂钩。在此时,当前和建议的
凭据集都可用,因为current_cred()将返回当前的凭据集。
在替换组列表时,必须在将其添加到凭据之前对新列表进行排序,因为使用二分查找
测试成员资格。实际上,这意味着在set_groups()或set_current_groups()之
前应调用groups_sort()。groups_sort()不能在共享的 ``struct group_list``
上调用,因为即使数组已经排序,它也可能作为排序过程的一部分对元素进行排列。
当凭据集准备好时,应通过调用以下函数将其提交给当前进程::
int commit_creds(struct cred *new);
这将修改凭据和进程的各个方面,给LSM提供机会做同样的修改,然后使用
``rcu_assign_pointer()`` 将新的凭据实际提交给 ``current->cred`` ,
释放 ``current->cred_replace_mutex`` 以允许 ``ptrace()`` 进行操
作,并通知调度程序和其他组件有关更改的情况。
该函数保证返回0,以便可以在诸如 ``sys_setresuid()`` 函数的末尾进行尾调用。
请注意,该函数会消耗调用者对新凭据的引用。调用者在此之后不应调用
``put_cred()`` 释放新凭据。
此外,一旦新的凭据上调用了该函数,就不能进一步更改这些凭据。
如果在调用 ``prepare_creds()`` 之后安全检查失败或发生其他错误,
则应调用以下函数::
void abort_creds(struct cred *new);
这将释放 ``prepare_creds()`` 获取的 ``current->cred_replace_mutex`` 的锁,
并释放新的凭据。
一个典型的凭据修改函数看起来像这样::
int alter_suid(uid_t suid)
{
struct cred *new;
int ret;
new = prepare_creds();
if (!new)
return -ENOMEM;
new->suid = suid;
ret = security_alter_suid(new);
if (ret < 0) {
abort_creds(new);
return ret;
}
return commit_creds(new);
}
管理凭据
--------
有一些函数用来辅助凭据管理:
- ``void put_cred(const struct cred *cred);``
这将释放对给定凭据集的引用。如果引用计数为零,凭据集将由
RCU系统安排进行销毁。
- ``const struct cred *get_cred(const struct cred *cred);``
这将获取对活动凭据集的引用。返回指向凭据集的指针。
- ``struct cred *get_new_cred(struct cred *cred);``
这将获取对当前正在构建且可变的凭据集的引用。返回指向凭据集的指针。
打开文件凭据
============
当打开新文件时,会获取对打开任务凭据的引用,并将其附加到文件结构体的
``f_cred`` 字段中,替代原来的 ``f_uid`` 和 ``f_gid`` 。原来访问
``file->f_uid`` 和 ``file->f_gid`` 的代码现在应访问 ``file->f_cred->fsuid``
和 ``file->f_cred->fsgid`` 。
安全访问 ``f_cred`` 的情况下可以不使用RCU或加锁,因为指向凭据的指针
以及指向的凭据结构的内容在文件结构的整个生命周期中保持不变,除非是
上述列出的例外情况(参阅任务凭据部分)。
为了避免“混淆代理”权限提升攻击,在打开的文件后续操作时,访问控制检查
应该使用这些凭据,而不是使用“当前”的凭据,因为该文件可能已经被传递给
一个更具特权的进程。
覆盖VFS对凭据的使用
===================
在某些情况下,需要覆盖VFS使用的凭据,可以通过使用不同的凭据集调用
如 ``vfs_mkdir()`` 来实现。以下是一些进行此操作的位置:
* ``sys_faccessat()``.
* ``vfs_coredump()``.
* nfs4recover.c.
[ Dauer der Verarbeitung: 0.2 Sekunden
(vorverarbeitet)
]
