Wie führe ich einen Befehl in einem Chroot-Gefängnis nicht als root und ohne sudo aus?

Question

Ich richte eine minimale Chroot ein und möchte vermeiden, dass sudo oder su drin ist, aber meine Prozesse immer noch als nicht root ausführen. Das ist ein kleiner Trick, da root chroot requers root benötigt. Ich kann ein Programm schreiben, das dies tut, dass so etwas aussehen würde:

uid = LookupUser(args[username]) // no /etc/passwd in jail 
chroot(args[newroot]) 
cd("/") 
setuids(uid) 
execve(args[exe:]) 

Ist die meine beste Wette oder gibt es ein Standard-Tool, das für mich macht das?

---

Ich rollte meinen eigenen here:

Answer 1

Wenn Sie chroot von Root aufrufen, chroot Option wird Ihnen helfen. Der Befehl chroot verfügt über die Option --userspec=USER:GROUP, die unter einer Nicht-Root-UID/GID ausgeführt werden soll.

Übrigens wird die Option '--userspec' zuerst in coreutils-7.5 nach einem Git-Repository git://git.sv.gnu.org/coreutils eingeführt.

Answer 2

fakechroot, in Kombination mit fakeroot, ermöglicht es Ihnen, dies zu tun. Sie werden dafür sorgen, dass alle laufenden Programme so funktionieren, als würden sie in einer chroot als root ausgeführt, aber sie laufen tatsächlich wie Sie.

Siehe auch fakechroot's man page.

Answer 3

Sie können Linux-Funktionen nutzen, um Ihrer Binärdatei die Möglichkeit zu geben, chroot() ohne root aufzurufen. Als Beispiel können Sie dies mit der Binärdatei chroot tun. Als Nicht-Wurzel, in der Regel würden Sie diese:

$ chroot /tmp/ 
chroot: cannot change root directory to /tmp/: Operation not permitted 

Aber nachdem Sie den setcap Befehl ausführen:

sudo setcap cap_sys_chroot+ep /usr/sbin/chroot 

Es wird Ihnen die chroot Anruf tun.

Ich empfehle nicht, dass Sie dies mit dem System chroot tun, dass Sie es stattdessen zu Ihrem eigenen Programm tun und chroot aufrufen. Auf diese Weise haben Sie mehr Kontrolle über das, was passiert, und Sie können sogar die cap_sys_chroot-Berechtigung löschen, nachdem Sie sie aufgerufen haben, sodass nachfolgende Aufrufe von chroot in Ihrem Programm fehlschlagen.

Answer 4

Ein benutzerdefinierter chrooter ist nicht schwer zu schreiben:

#define _BSD_SOURCE 
#include <stdio.h> 
#include <unistd.h> 
const char newroot[]="/path/to/chroot"; 
int main(int c, char **v, char **e) { 
    int rc; const char *m; 
    if ((m="chdir" ,rc=chdir(newroot)) == 0 
     && (m="chroot",rc=chroot(newroot)) == 0 
     && (m="setuid",rc=setuid(getuid())) == 0) 
      m="execve", execve(v[1],v+2,e); 
    perror(m); 
    return 1; 
} 

Machen Sie, dass setuid root und im Besitz von einer benutzerdefinierten Gruppe Sie Ihren gewünschten Benutzer (und keinen ‚anderen‘ Zugang) hinzuzufügen.

Answer 5

könnten Sie Linux Container verwenden, um eine chroot-Umgebung zu schaffen, die in einem ganz anderen Namespace ist (IPC, Dateisystem-und sogar Netzwerk)

Es gibt sogar LXD das in der Lage ist, die Erzeugung von bildbasierten Containern zu verwalten und konfigurieren Sie sie so, dass sie als nicht privilegierte Benutzer ausgeführt werden. Wenn der nicht vertrauenswürdige Code den Container irgendwie verlassen kann, kann er nur Code als nicht privilegierter Benutzer und nicht als Root des Systems ausführen.

Search ‚Linux Container‘ und ‚LXD‘ auf Ihrer bevorzugte Suchmaschine;)