fakeroot ไม่ได้ละเมิดความปลอดภัยใน Linux อย่างไร

หลังจากอ่านคำตอบที่ดีงามจากคำถามนี้ฉันยังคงคลุมเครือว่าทำไมคุณถึงอยากจะแกล้งทำเป็นว่าคุณเป็นคนรูทโดยไม่ได้รับผลประโยชน์ใด ๆ จากการเป็นคนรูท

จนถึงตอนนี้สิ่งที่ฉันสามารถรวบรวมได้คือ fakeroot ถูกใช้เพื่อให้ความเป็นเจ้าของไฟล์ที่ต้องรูทเมื่อ unzip / tar'ed คำถามของฉันคือทำไมคุณไม่ทำอย่างนั้นกับ chown?

การสนทนาของ Google Groups ที่นี่ชี้ให้เห็นว่าคุณต้องมี fakeroot เพื่อรวบรวมเคอร์เนล Debian (ถ้าคุณต้องการที่จะทำจากผู้ใช้ที่ไม่มีสิทธิ์) ความคิดเห็นของฉันคือเหตุผลที่คุณจำเป็นต้องรูทเพื่อรวบรวมอาจเป็นเพราะการอ่านไม่ได้ตั้งค่าการอนุญาตสำหรับผู้ใช้รายอื่น หากเป็นเช่นนั้นการละเมิดความปลอดภัยที่ fakeroot อนุญาตสำหรับการรวบรวม (ซึ่งหมายความว่า gcc สามารถอ่านไฟล์ที่เป็นรูทได้)

คำตอบนี้ที่นี่อธิบายว่าการเรียกระบบที่เกิดขึ้นจริงกับ uid / gid จริงของผู้ใช้ดังนั้นอีกครั้งที่ fakeroot ช่วยได้ที่ไหน

fakeroot หยุดการเพิ่มระดับสิทธิพิเศษที่ไม่พึงประสงค์บน Linux อย่างไร หาก fakeroot สามารถหลอก tar ให้สร้างไฟล์ที่ root เป็นเจ้าของได้ทำไมไม่ทำอะไรที่คล้ายกับ SUID ล่ะ

จากสิ่งที่ฉันได้รวบรวม fakeroot จะมีประโยชน์เมื่อคุณต้องการเปลี่ยนเจ้าของไฟล์แพ็คเกจใด ๆ ที่คุณสร้างขึ้นเพื่อรูท แต่คุณสามารถทำสิ่งนี้ได้ด้วย chown ดังนั้นฉันจึงขาดความเข้าใจในเรื่องที่ว่าควรใช้ส่วนประกอบนี้อย่างไร

จนถึงตอนนี้สิ่งที่ฉันสามารถรวบรวมได้คือ fakeroot ถูกใช้เพื่อให้ความเป็นเจ้าของไฟล์ที่ต้องรูทเมื่อ unzip / tar'ed คำถามของฉันคือทำไมคุณไม่ทำอย่างนั้นกับ chown?

เนื่องจากคุณไม่สามารถทำเช่นนั้นchownได้อย่างน้อยก็ไม่ใช่ผู้ใช้ที่ไม่ใช่รูท (และถ้าคุณทำงานในฐานะรูทคุณไม่ต้องการfakeroot) นั่นคือประเด็นทั้งหมดfakeroot : เพื่ออนุญาตให้โปรแกรมที่คาดว่าจะทำงานเป็น root เพื่อให้ทำงานในฐานะผู้ใช้ปกติในขณะที่แสร้งว่า

โดยทั่วไปจะใช้เมื่อสร้างแพคเกจเพื่อให้กระบวนการติดตั้งของแพ็คเกจที่กำลังติดตั้งสามารถดำเนินการต่อได้โดยไม่มีข้อผิดพลาด (แม้ว่าจะรันchown root:rootหรือinstall -o rootฯลฯ ) fakerootจดจำความเป็นเจ้าของปลอมที่แกล้งทำเป็นให้ไฟล์ดังนั้นการดำเนินการในภายหลังจึงดูที่ความเป็นเจ้าของดูสิ่งนี้แทนที่จะเป็นของจริง สิ่งนี้อนุญาตให้มีการtarรันตัวอย่างเช่นภายหลังเพื่อจัดเก็บไฟล์ตามที่รูทเป็นเจ้าของ

fakeroot หยุดการเพิ่มระดับสิทธิพิเศษที่ไม่พึงประสงค์บน Linux อย่างไร หาก fakeroot สามารถหลอก tar ให้สร้างไฟล์ที่ root เป็นเจ้าของได้ทำไมไม่ทำอะไรที่คล้ายกับ SUID ล่ะ

fakerootไม่หลอกtarให้ทำอะไรมันรักษาการเปลี่ยนแปลงที่บิลด์ต้องการทำโดยไม่ปล่อยให้การเปลี่ยนแปลงเหล่านั้นมีผลกับระบบที่โฮสต์บิลด์ คุณไม่จำเป็นต้องfakerootสร้าง tarball ที่มีไฟล์เป็นของ root และ suid; หากคุณมีไบนารี่ที่evilbinaryทำงานอยู่tar cf evil.tar --mode=4755 --owner=root --group=root evilbinaryในฐานะผู้ใช้ปกติจะสร้าง tarball ที่ประกอบด้วยevilbinaryroot และ suid อย่างไรก็ตามคุณจะไม่สามารถดึง tarball นั้นและรักษาสิทธิ์เหล่านั้นได้เว้นแต่ว่าคุณจะเป็น root: ไม่มีการเพิ่มระดับสิทธิ์ที่นี่ fakerootเป็นสิทธิ์เดอ-escalation tool: ช่วยให้คุณสามารถรันบิลด์ในฐานะผู้ใช้ทั่วไปในขณะที่รักษาเอฟเฟกต์บิลด์ไว้ถ้ามันถูกเรียกใช้ในฐานะรูท การใช้เอฟเฟ็กต์“ for real” นั้นต้องการสิทธิ์รูทเสมอ fakerootไม่ได้ให้วิธีการในการรับพวกเขา

เพื่อให้เข้าใจการใช้งานfakerootโดยละเอียดยิ่งขึ้นให้พิจารณาว่าโครงสร้างการกระจายทั่วไปเกี่ยวข้องกับการดำเนินการดังต่อไปนี้

• ติดตั้งไฟล์ที่ root เป็นเจ้าของ
• ...
• เก็บถาวรไฟล์เหล่านั้นยังคงเป็นของรูทดังนั้นเมื่อไฟล์ถูกแตกมันจะเป็นของรูท

ส่วนแรกล้มเหลวถ้าคุณไม่รูท อย่างไรก็ตามเมื่อทำงานภายใต้fakerootในฐานะผู้ใช้ปกติกระบวนการจะกลายเป็น

• ติดตั้งไฟล์ที่ root เป็นเจ้าของ - สิ่งนี้ล้มเหลว แต่fakerootแกล้งทำสำเร็จและจดจำความเป็นเจ้าของที่เปลี่ยนแปลง
• ...
• เก็บถาวรไฟล์เหล่านั้นยังคงเป็นของรูท - เมื่อtar(หรือสิ่งที่ใช้งานผู้เก็บถาวร) ถามระบบว่าไฟล์เป็นเจ้าของอะไร, fakerootเปลี่ยนคำตอบเพื่อให้ตรงกับความเป็นเจ้าของที่บันทึกไว้ก่อนหน้านี้

ดังนั้นคุณสามารถเรียกใช้แพ็คเกจบิลด์โดยไม่ต้องรูทในขณะที่รับผลลัพธ์เดียวกันกับที่คุณจะได้รับหากคุณรันเป็นรูท การใช้fakerootปลอดภัยยิ่งขึ้น: ระบบยังไม่สามารถทำสิ่งใด ๆ ที่ผู้ใช้ของคุณไม่สามารถทำได้ดังนั้นกระบวนการติดตั้งที่หลอกลวงไม่สามารถทำลายระบบของคุณได้ (นอกเหนือจากการสัมผัสไฟล์ของคุณ)

ในเดสร้างเครื่องมือที่ได้รับการปรับปรุงเพื่อที่จะไม่ต้องใด ๆ นี้มากขึ้นและคุณสามารถสร้างแพคเกจโดยไม่ต้อง fakerootนี่คือการสนับสนุนdpkgโดยตรงกับRules-Requires-Rootคำสั่ง (ดูrootless-builds.txt )

เพื่อให้เข้าใจถึงวัตถุประสงค์fakerootและด้านความปลอดภัยของการรันในฐานะรูทหรือไม่นั้นอาจช่วยในการพิจารณาวัตถุประสงค์ของการบรรจุภัณฑ์ เมื่อคุณติดตั้งซอฟต์แวร์จากแหล่งข้อมูลเพื่อใช้กับระบบคุณจะดำเนินการดังนี้:

1. สร้างซอฟต์แวร์ (ซึ่งสามารถทำได้โดยไม่มีสิทธิ์)
2. ติดตั้งซอฟต์แวร์ (ซึ่งจำเป็นต้องทำในฐานะรูทหรืออย่างน้อยผู้ใช้ที่ได้รับอนุญาตให้เขียนไปยังตำแหน่งระบบที่เหมาะสม)

เมื่อคุณจัดทำแพคเกจซอฟต์แวร์คุณกำลังทำการหน่วงเวลาส่วนที่สอง แต่การทำเช่นนั้นสำเร็จคุณยังต้อง“ ติดตั้ง” ซอฟต์แวร์ลงในแพ็คเกจแทนที่จะเข้าสู่ระบบ ดังนั้นเมื่อคุณแพ็กเกจซอฟต์แวร์กระบวนการจะกลายเป็น:

1. สร้างซอฟต์แวร์ (ไม่มีสิทธิ์พิเศษ)
2. แกล้งทำเป็นติดตั้งซอฟต์แวร์ (อีกครั้งโดยไม่มีสิทธิ์พิเศษ)
3. จับภาพการติดตั้งซอฟต์แวร์เป็นแพ็คเกจ (เหมือนกัน)
4. ทำให้แพ็คเกจพร้อมใช้งาน (เหมือนกัน)

ตอนนี้ผู้ใช้ทำกระบวนการให้เสร็จสมบูรณ์โดยการติดตั้งแพคเกจซึ่งจำเป็นต้องทำในฐานะผู้ใช้ (หรืออีกครั้งผู้ใช้ที่มีสิทธิ์ที่เหมาะสมในการเขียนไปยังตำแหน่งที่เหมาะสม) นี่คือที่รับรู้กระบวนการที่ล่าช้าพิเศษและเป็นเพียงส่วนหนึ่งของกระบวนการที่ต้องการสิทธิ์พิเศษ

fakeroot ช่วยในขั้นตอนที่ 2 และ 3 ข้างต้นโดยให้เราเรียกใช้กระบวนการติดตั้งซอฟต์แวร์และจับพฤติกรรมของพวกเขาโดยไม่ต้องทำงานเป็นรูต

NO รูทปลอมอนุญาตให้คุณเรียกใช้การจัดการการอนุญาตและเครื่องมือรายงานมันจะรายงานอย่างสม่ำเสมอ อย่างไรก็ตามจะไม่ให้สิทธิ์เหล่านี้จริง ๆ มันจะดูเหมือนว่าคุณมี (ปลอม) มันจะไม่เปลี่ยนแปลงสิ่งใดนอกสภาพแวดล้อม

มันมีประโยชน์ถ้าคุณต้องการสร้างโครงสร้างไดเรกทอรีที่มีความเป็นเจ้าของและสิทธิ์ที่ไม่สามารถกำหนดได้โดยผู้ใช้ของคุณซึ่งคุณจะ tar, zip หรือแพ็คเกจอื่น ๆ

มันไม่ได้เป็นการยกระดับสิทธิ์ แต่เป็นของปลอม มันไม่อนุญาตให้คุณทำอะไร (ลบเขียนอ่าน) ที่คุณไม่สามารถทำได้ คุณสามารถผลิตบรรจุภัณฑ์ (ในทางทฤษฎี) โดยไม่ได้ คุณสามารถรับรายงานปลอมได้ ( ls) หากไม่มี

ไม่ใช่ข้อบกพร่องด้านความปลอดภัยเนื่องจากไม่อนุญาตให้เข้าถึงหรือสิ่งใด ๆ ที่คุณไม่สามารถทำได้หากไม่มี มันทำงานโดยไม่มีสิทธิ์ ทั้งหมดก็เป็นยาสายตัดไปchown, chmodฯลฯ มันทำให้พวกเขาไม่มีการดำเนินการยกเว้นว่าจะบันทึกสิ่งที่จะเกิดขึ้น นอกจากนี้ยังสกัดกั้นการโทรstatเป็นต้นเพื่อให้รายงานสิทธิ์และความเป็นเจ้าของจากฐานข้อมูลภายในของตัวเองราวกับว่าได้ทำคำสั่งอื่น ๆ แล้ว สิ่งนี้มีประโยชน์เพราะถ้าคุณ zip ไดเรกทอรีมันจะมีสิทธิ์ปลอม หากคุณคลายซิปในฐานะ root แล้วการอนุญาตจะกลายเป็นจริง

ไฟล์ใด ๆ ที่ไม่สามารถอ่าน / เขียนได้ก่อนหน้านี้จะยังคงไม่สามารถอ่าน / เขียนได้ ไฟล์พิเศษใด ๆ (เช่นอุปกรณ์) ที่สร้างขึ้นจะไม่มีพลังพิเศษ set-uid ใด ๆ (สำหรับผู้ใช้อื่น) ไฟล์จะไม่ set-uid การเพิ่มระดับสิทธิ์อื่น ๆ จะไม่ทำงาน

เป็นเครื่องเสมือนชนิดหนึ่ง: โดยทั่วไปเครื่องเสมือนสามารถจำลองสภาพแวดล้อม / OS ใด ๆ แต่ไม่สามารถทำอะไรกับโฮสต์ได้ซึ่งแอปพลิเคชันอื่นไม่สามารถทำได้ ภายในเครื่องเสมือนคุณสามารถทำอะไรก็ได้ คุณสามารถบูรณาการระบบรักษาความปลอดภัยให้เหมือนหรือแตกต่างกันอย่างไรก็ตามสิ่งนี้จะมีอยู่ทั้งหมดบนโฮสต์เนื่องจากทรัพยากรที่เป็นของผู้ใช้ / กลุ่มของกระบวนการที่ใช้สภาพแวดล้อมเสมือน

มีอยู่สองที่ดีและมีรายละเอียดมากคำตอบที่นี่ แต่ผมจะชี้ให้เห็นว่าวรรคเบื้องต้นของเดิม fakeroot หน้าคน^{ที่ 1}จริงอธิบายได้สวยอย่างชัดเจนและรัดกุม:

fakerootรันคำสั่งในสภาพแวดล้อมที่ดูเหมือนว่าจะมีสิทธิ์พิเศษสำหรับการจัดการไฟล์ สิ่งนี้มีประโยชน์สำหรับการอนุญาตให้ผู้ใช้สร้างไฟล์เก็บถาวร (tar, ar, .deb ฯลฯ ) พร้อมกับไฟล์ที่อยู่ในนั้นด้วยสิทธิ์อนุญาต / ความเป็นเจ้าของราก หากไม่มีคนทำขนมปังคนหนึ่งจะต้องมีสิทธิ์รูทในการสร้างไฟล์ส่วนประกอบของไฟล์เก็บถาวรด้วยสิทธิ์ที่ถูกต้องและความเป็นเจ้าของจากนั้นจัดเก็บไฟล์เหล่านั้นหรือจะสร้างไฟล์เก็บถาวรโดยตรงโดยไม่ต้องใช้ Archiver

Fakeroot อนุญาตให้ผู้ใช้ที่ไม่ใช่รูทสามารถสร้างไฟล์เก็บถาวรที่มีไฟล์ที่เป็นเจ้าของรูทซึ่งเป็นส่วนสำคัญในการสร้างและแจกจ่ายแพคเกจซอฟต์แวร์ไบนารีใน Linux หากไม่มีfakerootไฟล์เก็บถาวรแพ็กเกจจะต้องถูกสร้างขึ้นในขณะที่ทำงานในฐานะรูทจริงเพื่อให้มีการเป็นเจ้าของไฟล์และสิทธิ์ที่ถูกต้อง นั่นจะเป็นความเสี่ยงด้านความปลอดภัย การสร้างและบรรจุภัณฑ์ซอฟต์แวร์ที่ไม่น่าเชื่อถือนั้นเป็นเรื่องที่เปิดเผยได้อย่างมากหากทำกับ priv privs ขอบคุณfakerootผู้ใช้ที่ไม่มีสิทธิพิเศษที่มีไฟล์ที่ไม่มีสิทธิพิเศษยังสามารถสร้างไฟล์เก็บถาวรที่มีไฟล์ที่มีความเป็นเจ้าของรูทได้²

แต่ไม่ใช่ความเสี่ยงด้านความปลอดภัยเพราะไม่มีรากใดในไฟล์เก็บถาวรที่เป็นของจริงจนกว่าไฟล์จะถูกสกัดสกัดและแม้กระทั่งไฟล์จะถูกแยกด้วยการอนุญาตรูทของพวกเขาเหมือนเดิมถ้ามันทำโดยผู้ใช้ที่มีสิทธิพิเศษ ขั้นตอนนั้น - ที่ซึ่งfakerootไฟล์เก็บถาวรที่มีไฟล์ "root" ถูกแตกออกโดยผู้ใช้ที่มีสิทธิพิเศษ - เป็นตำแหน่งที่รูท "ปลอม" ในที่สุดจะกลายเป็นของจริง จนถึงจุดนั้นจะไม่มีการได้รับหรือรูทสิทธิ์พิเศษตามจริง

หมายเหตุ

1. fakeroot ได้กลับกลายบางสินค้า / ลอกเลียนแบบที่จะปลอมตัวเป็นfakerootถ้าติดตั้งรวมถึงและfakeroot-ng pseudoแต่ IMHO ไม่ได้เป็นหน้าคนของ "ผู้ลอกเลียนแบบ" ที่ชัดเจนเกี่ยวกับการทำให้ถูกต้องในคำถามนี้ ติดกับfakerootOG ดั้งเดิมหนึ่งเดียวเท่านั้น

2. ระบบ / บรรจุภัณฑ์อื่น ๆ เอาชนะสิ่งนี้ได้โดยไม่ต้องใช้ความเป็นเจ้าของรูทในคลังข้อมูลบรรจุภัณฑ์ บน Fedora เช่นซอฟต์แวร์สามารถรวบรวม, การติดตั้งและบรรจุโดยผู้ใช้ unprivileged fakerootโดยไม่ต้อง มันทำทั้งหมดภายใน$HOME/rpmbuild/พื้นที่ของผู้ใช้และขั้นตอนที่make installได้รับการยกเว้นตามปกติเช่นได้รับการเปลี่ยนเส้นทาง (ผ่านกลไกเช่น--prefixและDESTDIR) ไปยัง$HOME/rpmbuild/BUILDROOT/ลำดับชั้นที่อาจพิจารณาว่าเป็นพื้นที่ "fakechroot" (โดยไม่ต้องใช้งานจริงfakechroot )

   แต่แม้ในระหว่างmake installนั้นทุกอย่างจะถูกดำเนินการและเป็นเจ้าของโดยผู้ใช้ที่ไม่มีสิทธิ์ การเป็นเจ้าของไฟล์และสิทธิ์ที่ได้รับการแตกไฟล์จะถูกตั้งค่าเป็นroot,rootและ0644(หรือ0755สำหรับไฟล์ปฏิบัติการ) โดยค่าเริ่มต้นเว้นแต่จะถูกแทนที่ใน.specไฟล์ข้อกำหนดแพ็คเกจ ( ) ซึ่งในกรณีนี้ไฟล์เหล่านั้นถูกจัดเก็บเป็นเมทาดาทาภายในแพ็คเกจสุดท้าย เนื่องจากไม่มีสิทธิ์หรือความเป็นเจ้าของถูกนำไปใช้จริงจนกว่ากระบวนการติดตั้ง (สิทธิ์) ของแพ็คเกจ rpm ไม่fakerootจำเป็นต้องรูทหรือต้องการระหว่างการบรรจุ แต่fakerootเป็นเพียงเส้นทางที่แตกต่างไปจากผลลัพธ์เดียวกัน