Linux Capabilities Revisited

Linux capabilities представляют собой механизм контроля доступа, который разделяет привилегии суперпользователя на отдельные единицы. В системе существует 40 таких возможностей, что позволяет более гибко управлять правами доступа, чем традиционная модель "всё или ничего". Статья демонстрирует, как злоумышленник может использовать setcap cap_setuid+ep /usr/bin/python3 для создания бэкдора, позволяющего обычному пользователю получить права root без установки бита SUID. Это особенно опасно, так как традиционные методы поиска эскалации привилегаций фокусируются на файлах с установленными битами SUID и SGID.

Для обнаружения файлов с capabilities можно использовать команду getcap -r /, а для анализа процессов — проверять /proc/[pid]/status или использовать утилиты capsh и getpcaps. Статья подчеркивает важность поиска таких файлов при проведении расследований и аудитов безопасности. Скрипты вроде LinPEAS также включают проверки capabilities при поиске путей эскалации привилегий. Для удаления capabilities с бинарного файла используется команда setcap -r.

Комментарии (35)

Linux capabilities не реализуют настоящую модель capability-based security, а лишь предоставляют грубые флаги привилегий.
Проблема в том, что они слишком грубы и не позволяют выдавать только конкретный порт или другой ресурс, а вместо этого разрешают "всё, что угодно, кроме какого-то".
Наследование прав при fork/exec в Linux не ограничено, что позволяет любой процесс получить доступ к любым ресурсам, если только он может получить fd откуда-нибудь.
Это делает невозможным реализовать настоящую capability-модель безопасности, где процесс может только делегировать конкретные доступы вместо всего набора прав.
Подобные ограничения делают невозможным использование механизма в качестве реальной системы контроля доступа, вместо этого он используется лишь как дополнительный слой поверх традиционной модели.