Читаем Linux API. Исчерпывающее руководство полностью

Ограничивающий набор представляет собой механизм безопасности, с помощью которого задается диапазон возможностей, доступных процессу во время работы exec(). Этот набор используется следующим образом.

• Во время выполнения вызова exec() к ограничивающему набору применяется маска из разрешенных возможностей (с помощью побитового И); так определяются разрешенные возможности, которые будут выданы новой программе. Иными словами, если разрешенные возможности не входят в ограничивающий набор, они не могут быть доступны процессу.

• Ограничивающий набор является надмножеством возможностей, которые могут быть добавлены в наследуемый набор процесса. Это означает, что разрешенная возможность не может стать наследуемой, если она не входит в ограничивающий набор; то есть согласно первому правилу изменения возможностей, описанному выше, эта возможность не будет сохранена в разрешенном наборе, если она входит в наследуемый набор исполняемого файла.

Ограничивающий набор возможностей относится к каждому отдельному процессу, наследуется потомками, создаваемыми с помощью вызова fork(), и сохраняется на протяжении всей работы exec(). Если ядро поддерживает возможности файлов, процесс init (предок всех процессов) запускается с ограничивающим набором, состоящим из всех существующих возможностей.

Если процесс обладает возможностью CAP_SETPCAP, он может (перманентно) удалять элементы ограничивающего набора, используя операцию PR_CAPBSET_DROP для вызова prctl() (удаление возможностей из ограничивающего набора не влияет на разрешенный, действующий и наследуемый наборы процесса). Чтобы определить, входит ли возможность в ограничивающий набор, процесс может воспользоваться операцией PR_CAPBSET_READ для вызова prctl().

Если быть точным, ограничивающий набор возможностей относится к отдельным потокам. Начиная с версии ядра 2.6.26, этот атрибут выводится в виде поля CapBnd в файле /proc/PID/task/TID/ (доступной только в Linux). Файл /proc/PID/status содержит ограничивающий набор главного потока процесса.

39.5.2. Сохранение традиционной для администратора семантики

Для того чтобы сохранить традиционную семантику, согласно которой администратор имеет неограниченные привилегии во время выполнения файла, любой набор возможностей, связанный с файлом, игнорируется. Вместо этого, чтобы не нарушать алгоритм, показанный в разделе 39.5, наборы возможностей файла во время выполнения exec() номинально определяются следующим образом.

• Если выполняется программа, устанавливающая идентификатор администратора, или если реальный или действующий UID процесса, вызвавшего exec(), равен 0, наследуемый и разрешенный наборы имеют одинаковое содержимое.

• Если выполняется программа, устанавливающая идентификатор администратора, или если действующий UID процесса, вызвавшего exec(), равен 0, устанавливается действующий бит файла.

Исходя из того, что мы выполняем программу, которая устанавливает идентификатор администратора, эти формальные определения наборов возможностей файла означают, что вычисление новых разрешенных и действующих наборов процессов, описанное в разделе 39.5, сводится к следующим правилам:

P'(permitted) = P(inheritable) | cap_bset

P'(effective) = P'(permitted)

39.6. Как изменение пользовательского идентификатора влияет на возможности процесса

Чтобы сохранить совместимость с традиционным механизмом перехода между нулевым и ненулевым идентификатором, при изменении UID процесса (с помощью вызова setuid() и т. д.) ядро выполняет следующие действия.

1. Если изначально хотя бы один из пользовательских идентификаторов (реальный, действующий или сохраненный) был равен 0 и затем в результате изменения UID все они получили ненулевое значение, тогда содержимое действующего и разрешенного наборов удаляется (то есть перманентно сбрасываются все возможности).

2. Если действующий идентификатор, изначально будучи равным 0, получает ненулевое значение, удаляется содержимое действующего набора возможностей (то есть действующие возможности сбрасываются, но их все еще можно включить из разрешенного набора).

3. Если ненулевому идентификатору пользователя присваивается 0, содержимое разрешенного набора возможностей копируется в действующий набор (то есть задействуются все разрешенные возможности).