问题描述
我正在尝试创建一个可以以用户身份运行的关闭命令,即不以 root 身份运行的 Flask 网页。听起来很简单,只需在 SETUID 脚本中放置一个 shutdown
命令。因为 SETUID 不适用于 shell 脚本,所以我从 C 程序创建了一个可执行文件。
问题是这在目标机器上不起作用,Raspberry Pi Zero W。我在我的 Ubuntu 20.4 电脑上测试了同样的东西,它在那里完美运行。所以这个方法本身看起来是正确的,但存在一个树莓派问题。
Pi 运行此操作系统:
cat /etc/issue
-->
Raspbian GNU/Linux 10 \n \l
这是 usershutdown.c :
#include <stdio.h>
#include <stdlib.h>
int main(){
system("/sbin/poweroff");
}
这些是可执行文件的权限:
-rwsr-xr-x 1 root root 7988 Dec 20 23:59 usershutdown
我在 /etc/fstab 中检查了根磁盘的挂载选项,在那里添加了 ,suid
并重新启动:
PARTUUID=738a4d67-02 / ext4 defaults,noatime,suid 0 1
这些是按预期调用 exec 时 Pi 上的错误消息:
$ ./usershutdown
Failed to set wall message,ignoring: Interactive authentication required.
Failed to power off system via logind: Interactive authentication required.
Failed to open initctl fifo: Permission denied
Failed to talk to init daemon.
$
这就是 Pi 上的工作原理,当以 root/sudo 身份调用 exec 时,与它的 ssh 连接将关闭,设备将无错误地关闭:
$ sudo ./usershutdown
$ Connection to picamhq closed by remote host.
Connection to picamhq closed.
$
我该如何解决这个问题?
解决方法
system()
通过 shell 运行程序,从安全角度来看,从任何 setuid 程序运行 shell 都是极其危险的;用户可以通过多种方式劫持它来做其他事情(例如,查找滥用 IFS
的方式)。为了缓解这种情况,常用的 shell 会尝试注意它们何时在 setuid 下运行(通过注意 real and effective uids are different)并删除权限。
因此,更安全的替代方法是通过 poweroff
运行 execle
。 (execl
也可以使用,但传递您无法控制的环境变量是有风险的,因此最好让您的程序设置一个已知安全的环境。)
你仍然有一个问题,你的 setuid 程序可以被任何人运行,所以服务器上的任何非特权本地用户都可以关闭它。您需要确保它只能由您的应用程序运行的用户执行。由于文件的所有者必须是 root
才能使 setuid 工作,因此这将需要处理组。
您可以通过使用 sudo
中的 poweroff
指令代替设置 NOPASSWD
以允许您的应用程序的用户在没有密码的情况下运行 /etc/sudoers
命令来避免所有这些麻烦和风险}}。这将:
-
仅限指定用户使用
-
清洁环境
-
避免围绕您必须维护的额外 setuid 程序所固有的风险(例如,未来的 libc 错误,或者您想添加功能等)