YN
Uploaded byYuichiro Naito
ODP, PPTX571 views

Programming under capability mode

Programming guide under capability mode.

Embed presentation

Download as ODP, PPTX
ケーパビリティモードでのプログラミング 2016年7月15日 (株)創夢 内藤 祐一郎
ケーパビリティモード ● FreeBSD 9.0-R から された しいモード。搭載 新 ● cap_enter(2) を び した の された 。呼 出 後 制限 環境 ● たなファイルディスクリプタを できなくなる。新 取得 ● shmget(2) などのリソース ができなくなる。取得 ● ケーパビィティモードは プロセスにも される。子 継承 ● cap_rights_limit(2) により かく細 (read, write, ...) できる制御 。
メリット ● selinux と なりユーザの が 。異 設定 不要 ● root に setuid されたプログラムなど、 きすぎる を つプロセスが に を とせる。大 権限 持 自発的 権限 落 ● えば例 ping, traceroute はパケット のために取得 root を権限 つため、 が が つかった に したパケットを持 万 一脆弱性 見 場合 細工 させるなどして の になりやすい。受信 攻撃 標的 ● ケーパビリティモードで していれば、 が されてもア動作 万 一攻撃 クセスできるリソースがないため を められる。安全性 高 ● FreeBSD-11 から ping, traceroute はケーパビリティモードで する。動作
なプログラムの れ基本的 流 1. 必要なファイルディスクリプタを取得する。 2. cap_enter(2) を実行する。 3. 必要があればさらに cap_rights_limit(2) で制限を加える。 4. アプリケーションとしての処理を実行する。 5. プロセス終了。
されるシステムコール制限 ● chdir, stat, open, rename, mkdir, unlink など にパス を るものは えない。引数 名 取 使 ● connect, bind, sendto に引数 struct sockaddr * をとり 、 を するも送信先 受信元 指定 の ● execve, wait, waitpid, wait3/4/6 ● shm_open, shmget, msgget ● すると使用 ECAPMODE の errno が る。返
を けないシステムコール影響 受 ● read, write, close, sendfile, select, poll, mmap など のファイルディスクリプタを するもの既存 使用 ● pipe, socket, accept, listen, kqueue など のプロセスに するだけもの自分 影響 ● getpid, getuid, time, gettimeofday など なる のもの単 情報取得 ● fork
より かい を える細 制限 加 ● cap_rights_limit(2) によりファイルディスクリプタごとに細か く制限することが可能。 ➔ READ ➔ WRITE ➔ IOCTL ➔ FSTAT ➔ FUNLINK ➔ MMAP, MMAP_R, MMAP_W, MMAP_RW など ● 概ねファイルディスクリプタを操作するシステムコール毎に権限 を設定できる。
なファイルアクセス動的 ● プログラム起動時に必要なリソースが全て判明しない場合はどう するのか? ➔ アクセスする のディレクトリのファイルディスクリプタを してお予定 取得 き、 openat(2) でディレクトリ のファイルを く。以下 開 ➔ または プロセスとの別 通信 (UNIX DOMAIN SOCKET) でオープンした ファイルディスクリプタを け す。受 渡
となるシステムコール代替 ● cap_enter(2) にディレクトリのファイルディスクリプタを前 open(" ディレクトリ名 ", O_RDONLY|O_DIRECTORY) で取得 しておく。 ● openat, renameat, mkdirat など ~ at を する。系 使用 ~ at は となるディレクトリのファイルディスクリプタ系 基準 から パスで する。相対 指定 ● パスに相対 “ ..” を れて ディレクトリに がる はカーネル入 親 上 操作 に される。拒否 ● fchdir, fstat などファイルディスクリプタを にとるものを引数 する。使用
プログラムの れ ファイルアクセス流 ( ) 1. base=open(“/var/data”,O_RDONLY|O_DIRECTORY); 2. cap_enter(); 3. fd=openat(base, “sample.txt”, O_RDWR); 4. read(fd, buf, size); ... 5. close(fd);
ネットワークの利用( UDP ) ● cap_enter() の前にソケットを作成し、予め送信先や受信元を設 定しておく。 ➔ sendto(2), bind(2) は えなくなる。使 ● 送信先は connect(2) で指定する。 ● 受信元は bind(2) で指定する。
プログラムの れ流 ( UDP 送信) 1. sock=socket(PF_UNSPEC, SOCK_DGRAM, 0); 2. < sockaddr に接続先を入れる > 3. connect(sock, &sockaddr, size); 4. cap_enter(); 5. send(sock ,data, len); 6. recv(sock, buf, buf_len); 7. … 8. close(sock);
プログラムの れ流 ( UDP 受信) 1. sock=socket(PF_UNSPEC, SOCK_DGRAM, 0); 2. < sockaddr に受信元を入れる > 3. bind(sock, &sockaddr, size); 4. cap_enter(); 5. recv(sock ,buf, buf_len); 6. send(sock, data, size); 7. … 8. close(sock);
ネットワークの利用( TCP ) ● cap_enter() の にソケットを し前 作成 bind(2) または connect(2) しておく。 ● bind(2) のソケットに済 accept はできるため は 。受信 可能 ● connect(2) はたとえ じ であっても できないため、同 接続先 使用 タイムアウトなどで することができない。再接続 ● クライアントプログラムならば、プロセスを する。再起動 ● さもなければ unix domain socket を して、経由 プロセスが したソケットを け してもらう。別 接続 受 渡
ソケット け しの受 渡 例 親プロセス 子プロセス socketpair(PF_UNIX) fork() send(“ ”ホスト名:ポート番号 ) connect() sendmsg(ソケット) recv() recvmsg() cap_enter()
プロセス生成 ● fork, fexecve が えるため、使 ファイルディスクリプタさえあれば イメージを 。実行 起動可能 しかし、ケーパビリティモードは プロセスにも子 されるため、継承 /libexec/ld-elf.so.1 の み みに読 込 してしまう。失敗 スタティックリンクされたプログラムなら できる。起動 ● wait ができないため、 ち わせる がない。待 合 手段 ● 11-R では pdfork(2), pdwait(2) が される だったは実装 予定 ず。。。
その他 ● libc を めたライブラリについては が い。含 制限 多 ● fopen() ではなく fdopen() を うなど、プログラム での使 側 対処 が 。必要 ● getpwent() など で にファイル内部 暗黙 (/etc/passwd など ) を するものは えない。参照 使 ● casperd を して なリソースにアクセスするようになる経由 必要 み。見込
に最後 root に setuid するプログラムを るときには作 ケーパビリティモードを すると使用 より なプログラムを ることができます。安全 作

More Related Content

PDF
RとSQLiteで気軽にデータベース作成
by弘毅 露崎
 
KEY
データベースのお話
byHidekazu Tanaka
 
ODP
Custom Package Building with Poudriere
byYuichiro Naito
 
PDF
カウチなやつら CouchDB in the room
byMakoto Ohnami
 
PDF
Slide
byKazki Matsumoto
 
PPTX
Cache勉強会
byShinji Miyazato
 
PDF
R以外の研究ツール
by弘毅 露崎
 
PDF
10分で分かるLinuxブロックレイヤ
byTakashi Hoshino
 
RとSQLiteで気軽にデータベース作成
by弘毅 露崎
 
データベースのお話
byHidekazu Tanaka
 
Custom Package Building with Poudriere
byYuichiro Naito
 
カウチなやつら CouchDB in the room
byMakoto Ohnami
 
Slide
byKazki Matsumoto
 
Cache勉強会
byShinji Miyazato
 
R以外の研究ツール
by弘毅 露崎
 
10分で分かるLinuxブロックレイヤ
byTakashi Hoshino
 

What's hot

PDF
Elastic searchをrailsから使ってみた
byYoichi Toyota
 
PDF
Ubuntuとコンテナ技術 What is LXD? and Why? 2015-12-08
byNobuto Murata
 
ODP
Mongo db勉強会
byotmb
 
PDF
Firefox OS + Raspberry Pi
byEnsekiTT
 
KEY
Unix1
byTakaya Kotohata
 
PDF
Ext4 filesystem(1)
byYoshihiro Yunomae
 
PDF
仮想ネットワーク構築8枚slide
byk009c1271
 
ODP
データベースキャッシュの競合
bykesnke
 
PDF
“bcache”を使ってSSDの速さと HDDの大容量のいいとこどり 2015-12-12
byNobuto Murata
 
PPT
How to read linux kernel
byNaoya Ito
 
PPTX
フレッシャーズのためのパケット解析入門
by彰 村地
 
PDF
CouchDB JP & BigCouch
byYohei Sasaki
 
PPTX
AWSとmod_pagespeedで 楽々サクサク高速化!!
byaasakawa
 
PDF
分散データベース gun について調べた
bykeisunagawa
 
PDF
10分で分かるデータストレージ
byTakashi Hoshino
 
PPTX
パケット解析ノススメ
by彰 村地
 
Elastic searchをrailsから使ってみた
byYoichi Toyota
 
Ubuntuとコンテナ技術 What is LXD? and Why? 2015-12-08
byNobuto Murata
 
Mongo db勉強会
byotmb
 
Firefox OS + Raspberry Pi
byEnsekiTT
 
Unix1
byTakaya Kotohata
 
Ext4 filesystem(1)
byYoshihiro Yunomae
 
仮想ネットワーク構築8枚slide
byk009c1271
 
データベースキャッシュの競合
bykesnke
 
“bcache”を使ってSSDの速さと HDDの大容量のいいとこどり 2015-12-12
byNobuto Murata
 
How to read linux kernel
byNaoya Ito
 
フレッシャーズのためのパケット解析入門
by彰 村地
 
CouchDB JP & BigCouch
byYohei Sasaki
 
AWSとmod_pagespeedで 楽々サクサク高速化!!
byaasakawa
 
分散データベース gun について調べた
bykeisunagawa
 
10分で分かるデータストレージ
byTakashi Hoshino
 
パケット解析ノススメ
by彰 村地
 

Similar to Programming under capability mode

PDF
Trema day 1
byykuga
 
PDF
FreeBSD Capsicum
byYuichiro Naito
 
PDF
○○大学の本当にあった怖い話
byidkqh7 Nishino
 
ODP
みんな大好き! Hello, World
byNaohiro Aota
 
PDF
2011.09.18 v7から始めるunix まとめ
byMakiko Konoshima
 
PDF
Scapy presentation Remake(訂正)
byashigirl ZareGoto
 
PDF
Scapy presentation
byashigirl ZareGoto
 
PDF
C-langage
byHiramatsu Ryosuke
 
PDF
【学習メモ#11th】12ステップで作る組込みOS自作入門
bysandai
 
PDF
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
byPanda Yamaki
 
PDF
組み込みシステムのセキュリティ
byFFRI, Inc.
 
PDF
V6read#3
bymagoroku Yamamoto
 
PDF
(F15)File Capability
byHiroki Ishikawa
 
PDF
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
byYuto Takei
 
PDF
Windowsのパケットモニタ作成
byShinichi Hirauchi
 
PDF
10GbE時代のネットワークI/O高速化
byTakuya ASADA
 
PDF
【学習メモ#4th】12ステップで作る組込みOS自作入門
bysandai
 
PDF
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
PDF
Fuzzing
byashigirl ZareGoto
 
PDF
デブサミ2013【15-E-2】Ruby開発者のみなさん、mrubyで楽しく快適な組み込みアプリ開発を始めませんか?
byDevelopers Summit
 
Trema day 1
byykuga
 
FreeBSD Capsicum
byYuichiro Naito
 
○○大学の本当にあった怖い話
byidkqh7 Nishino
 
みんな大好き! Hello, World
byNaohiro Aota
 
2011.09.18 v7から始めるunix まとめ
byMakiko Konoshima
 
Scapy presentation Remake(訂正)
byashigirl ZareGoto
 
Scapy presentation
byashigirl ZareGoto
 
C-langage
byHiramatsu Ryosuke
 
【学習メモ#11th】12ステップで作る組込みOS自作入門
bysandai
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
byPanda Yamaki
 
組み込みシステムのセキュリティ
byFFRI, Inc.
 
V6read#3
bymagoroku Yamamoto
 
(F15)File Capability
byHiroki Ishikawa
 
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
byYuto Takei
 
Windowsのパケットモニタ作成
byShinichi Hirauchi
 
10GbE時代のネットワークI/O高速化
byTakuya ASADA
 
【学習メモ#4th】12ステップで作る組込みOS自作入門
bysandai
 
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
Fuzzing
byashigirl ZareGoto
 
デブサミ2013【15-E-2】Ruby開発者のみなさん、mrubyで楽しく快適な組み込みアプリ開発を始めませんか?
byDevelopers Summit
 

More from Yuichiro Naito

PDF
Install FreeBSD 14.3-RELEASE to HP Envy x360
byYuichiro Naito
 
PDF
Bhyve Management Daemon: Wake on LAN support
byYuichiro Naito
 
PDF
Development of Bhyve Management Daemon on FreeBSD
byYuichiro Naito
 
PDF
Bhyve Management Daemon Version 3.0 on FreeBSD
byYuichiro Naito
 
PDF
Reporting AsiaBSDCon 2024 in Taipei for FreeBSD NetBSD
byYuichiro Naito
 
PDF
Bmd
byYuichiro Naito
 
PDF
WireGurad in the FreeBSD kernel
byYuichiro Naito
 
PDF
Xrdp
byYuichiro Naito
 
PDF
Bhyve debug-server
byYuichiro Naito
 
PDF
Tramp mode
byYuichiro Naito
 
PDF
HandBrake with QSV
byYuichiro Naito
 
PDF
FreeBSD 12.1 RELESE
byYuichiro Naito
 
PPTX
Modern fonts
byYuichiro Naito
 
ODP
FreeBSD 12.0 RELEASE!
byYuichiro Naito
 
ODP
Psql & proctitle
byYuichiro Naito
 
ODP
Iocage
byYuichiro Naito
 
ODP
FreeBSD 11.2 RELEASE!
byYuichiro Naito
 
ODP
How to use PTI & IBRS patch
byYuichiro Naito
 
ODP
FreeBSD Desktop
byYuichiro Naito
 
ODP
FreeBSD Ports Flavors
byYuichiro Naito
 
Install FreeBSD 14.3-RELEASE to HP Envy x360
byYuichiro Naito
 
Bhyve Management Daemon: Wake on LAN support
byYuichiro Naito
 
Development of Bhyve Management Daemon on FreeBSD
byYuichiro Naito
 
Bhyve Management Daemon Version 3.0 on FreeBSD
byYuichiro Naito
 
Reporting AsiaBSDCon 2024 in Taipei for FreeBSD NetBSD
byYuichiro Naito
 
Bmd
byYuichiro Naito
 
WireGurad in the FreeBSD kernel
byYuichiro Naito
 
Xrdp
byYuichiro Naito
 
Bhyve debug-server
byYuichiro Naito
 
Tramp mode
byYuichiro Naito
 
HandBrake with QSV
byYuichiro Naito
 
FreeBSD 12.1 RELESE
byYuichiro Naito
 
Modern fonts
byYuichiro Naito
 
FreeBSD 12.0 RELEASE!
byYuichiro Naito
 
Psql & proctitle
byYuichiro Naito
 
Iocage
byYuichiro Naito
 
FreeBSD 11.2 RELEASE!
byYuichiro Naito
 
How to use PTI & IBRS patch
byYuichiro Naito
 
FreeBSD Desktop
byYuichiro Naito
 
FreeBSD Ports Flavors
byYuichiro Naito
 

Programming under capability mode

  • 1.
  • 2.
    ケーパビリティモード ● FreeBSD 9.0-Rから された しいモード。搭載 新 ● cap_enter(2) を び した の された 。呼 出 後 制限 環境 ● たなファイルディスクリプタを できなくなる。新 取得 ● shmget(2) などのリソース ができなくなる。取得 ● ケーパビィティモードは プロセスにも される。子 継承 ● cap_rights_limit(2) により かく細 (read, write, ...) できる制御 。
  • 3.
    メリット ● selinux となりユーザの が 。異 設定 不要 ● root に setuid されたプログラムなど、 きすぎる を つプロセスが に を とせる。大 権限 持 自発的 権限 落 ● えば例 ping, traceroute はパケット のために取得 root を権限 つため、 が が つかった に したパケットを持 万 一脆弱性 見 場合 細工 させるなどして の になりやすい。受信 攻撃 標的 ● ケーパビリティモードで していれば、 が されてもア動作 万 一攻撃 クセスできるリソースがないため を められる。安全性 高 ● FreeBSD-11 から ping, traceroute はケーパビリティモードで する。動作
  • 4.
    なプログラムの れ基本的 流 1.必要なファイルディスクリプタを取得する。 2. cap_enter(2) を実行する。 3. 必要があればさらに cap_rights_limit(2) で制限を加える。 4. アプリケーションとしての処理を実行する。 5. プロセス終了。
  • 5.
    されるシステムコール制限 ● chdir, stat,open, rename, mkdir, unlink など にパス を るものは えない。引数 名 取 使 ● connect, bind, sendto に引数 struct sockaddr * をとり 、 を するも送信先 受信元 指定 の ● execve, wait, waitpid, wait3/4/6 ● shm_open, shmget, msgget ● すると使用 ECAPMODE の errno が る。返
  • 6.
    を けないシステムコール影響 受 ●read, write, close, sendfile, select, poll, mmap など のファイルディスクリプタを するもの既存 使用 ● pipe, socket, accept, listen, kqueue など のプロセスに するだけもの自分 影響 ● getpid, getuid, time, gettimeofday など なる のもの単 情報取得 ● fork
  • 7.
    より かい をえる細 制限 加 ● cap_rights_limit(2) によりファイルディスクリプタごとに細か く制限することが可能。 ➔ READ ➔ WRITE ➔ IOCTL ➔ FSTAT ➔ FUNLINK ➔ MMAP, MMAP_R, MMAP_W, MMAP_RW など ● 概ねファイルディスクリプタを操作するシステムコール毎に権限 を設定できる。
  • 8.
    なファイルアクセス動的 ● プログラム起動時に必要なリソースが全て判明しない場合はどう するのか? ➔ アクセスするのディレクトリのファイルディスクリプタを してお予定 取得 き、 openat(2) でディレクトリ のファイルを く。以下 開 ➔ または プロセスとの別 通信 (UNIX DOMAIN SOCKET) でオープンした ファイルディスクリプタを け す。受 渡
  • 9.
    となるシステムコール代替 ● cap_enter(2) にディレクトリのファイルディスクリプタを前 open("ディレクトリ名 ", O_RDONLY|O_DIRECTORY) で取得 しておく。 ● openat, renameat, mkdirat など ~ at を する。系 使用 ~ at は となるディレクトリのファイルディスクリプタ系 基準 から パスで する。相対 指定 ● パスに相対 “ ..” を れて ディレクトリに がる はカーネル入 親 上 操作 に される。拒否 ● fchdir, fstat などファイルディスクリプタを にとるものを引数 する。使用
  • 10.
    プログラムの れ ファイルアクセス流( ) 1. base=open(“/var/data”,O_RDONLY|O_DIRECTORY); 2. cap_enter(); 3. fd=openat(base, “sample.txt”, O_RDWR); 4. read(fd, buf, size); ... 5. close(fd);
  • 11.
    ネットワークの利用( UDP ) ●cap_enter() の前にソケットを作成し、予め送信先や受信元を設 定しておく。 ➔ sendto(2), bind(2) は えなくなる。使 ● 送信先は connect(2) で指定する。 ● 受信元は bind(2) で指定する。
  • 12.
    プログラムの れ流 (UDP 送信) 1. sock=socket(PF_UNSPEC, SOCK_DGRAM, 0); 2. < sockaddr に接続先を入れる > 3. connect(sock, &sockaddr, size); 4. cap_enter(); 5. send(sock ,data, len); 6. recv(sock, buf, buf_len); 7. … 8. close(sock);
  • 13.
    プログラムの れ流 (UDP 受信) 1. sock=socket(PF_UNSPEC, SOCK_DGRAM, 0); 2. < sockaddr に受信元を入れる > 3. bind(sock, &sockaddr, size); 4. cap_enter(); 5. recv(sock ,buf, buf_len); 6. send(sock, data, size); 7. … 8. close(sock);
  • 14.
    ネットワークの利用( TCP ) ●cap_enter() の にソケットを し前 作成 bind(2) または connect(2) しておく。 ● bind(2) のソケットに済 accept はできるため は 。受信 可能 ● connect(2) はたとえ じ であっても できないため、同 接続先 使用 タイムアウトなどで することができない。再接続 ● クライアントプログラムならば、プロセスを する。再起動 ● さもなければ unix domain socket を して、経由 プロセスが したソケットを け してもらう。別 接続 受 渡
  • 15.
    ソケット け しの受渡 例 親プロセス 子プロセス socketpair(PF_UNIX) fork() send(“ ”ホスト名:ポート番号 ) connect() sendmsg(ソケット) recv() recvmsg() cap_enter()
  • 16.
    プロセス生成 ● fork, fexecveが えるため、使 ファイルディスクリプタさえあれば イメージを 。実行 起動可能 しかし、ケーパビリティモードは プロセスにも子 されるため、継承 /libexec/ld-elf.so.1 の み みに読 込 してしまう。失敗 スタティックリンクされたプログラムなら できる。起動 ● wait ができないため、 ち わせる がない。待 合 手段 ● 11-R では pdfork(2), pdwait(2) が される だったは実装 予定 ず。。。
  • 17.
    その他 ● libc をめたライブラリについては が い。含 制限 多 ● fopen() ではなく fdopen() を うなど、プログラム での使 側 対処 が 。必要 ● getpwent() など で にファイル内部 暗黙 (/etc/passwd など ) を するものは えない。参照 使 ● casperd を して なリソースにアクセスするようになる経由 必要 み。見込
  • 18.
    に最後 root に setuidするプログラムを るときには作 ケーパビリティモードを すると使用 より なプログラムを ることができます。安全 作