加入收藏 | 设为首页 | 会员中心 | 我要投稿 晋中站长网 (https://www.0354zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 站长资讯 > 评论 > 正文

如何增强Linux内核中的访问控制安全

发布时间:2018-12-06 17:27:27 所属栏目:评论 来源:王张军
导读:背景 前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了
副标题[/!--empirenews.page--]

背景

前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了尽可能的满足人们需求,不得不提供一些供人们定制操作系统的机制。当然除了官方提供的一些机制,也有一些黑魔法,这些黑魔法不被推荐使用,但是有时候面对具体的业务场景,可以作为一个参考的思路。

如何增强Linux内核中的访问控制安全

Linux中常见的拦截过滤

本文着重介绍Linux平台上常见的拦截:

  • 用户态动态库拦截。
  • 内核态系统调用拦截。
  • 堆栈式文件系统拦截。
  • inline hook拦截。
  • LSM(Linux Security Modules)

动态库劫持

Linux上的动态库劫持主要是基于LD_PRELOAD环境变量,这个环境变量的主要作用是改变动态库的加载顺序,让用户有选择的载入不同动态库中的相同函数。但是使用不当就会引起严重的安全问题,我们可以通过它在主程序和动态连接库中加载别的动态函数,这就给我们提供了一个机会,向别人的程序注入恶意的代码。

假设有以下用户名密码验证的函数:

  1. #include <stdio.h> 
  2. #include <string.h> 
  3. #include <stdlib.h> 
  4. int main(int argc, char **argv) 
  6. char passwd[] = "password"; 
  7. if (argc < 2) { 
  8. printf("Invalid argc!n"); 
  9. return; 
  11. if (!strcmp(passwd, argv[1])) { 
  12. printf("Correct Password!n"); 
  13. return; 
  15. printf("Invalid Password!n"); 

我们再写一段hookStrcmp的程序,让这个比较永远正确。

  1. #include <stdio.h> 
  2. int strcmp(const char *s1, const char *s2) 
  4. /* 永远返回0,表示两个字符串相等 */ 
  5. return 0; 

依次执行以下命令,就会使我们的hook程序先执行。

  1. gcc -Wall -fPIC -shared -o hookStrcmp.so hookStrcmp.c 
  2. export LD_PRELOAD=”./hookStrcmp.so” 

结果会发现,我们自己写的strcmp函数优先被调用了。这是一个最简单的劫持 ,但是如果劫持了类似于geteuid/getuid/getgid,让其返回0,就相当于暴露了root权限。所以为了安全起见,一般将LD_PRELOAD环境变量禁用掉。

Linux系统调用劫持

最近发现在4.4.0的内核中有513多个系统调用(很多都没用过),系统调用劫持的目的是改变系统中原有的系统调用,,用我们自己的程序替换原有的系统调用。Linux内核中所有的系统调用都是放在一个叫做sys_call_table的内核数组中,数组的值就表示这个系统调用服务程序的入口地址。整个系统调用的流程如下:

如何增强Linux内核中的访问控制安全

当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用表sys_call_table去查找具体的系统调用,那么如果我们将这个数组中的地址改成我们自己的程序地址,就可以实现系统调用劫持。但是内核为了安全,对这种操作做了一些限制:

  • sys_call_table的符号没有导出,不能直接获取。
  • sys_call_table所在的内存页是只读属性的,无法直接进行修改。

对于以上两个问题,解决方案如下(方法不止一种):

  • 获取sys_call_table的地址 :
    1. grep sys_call_table /boot/System.map-uname -r 
  • 控制页表只读属性是由CR0寄存器的WP位控制的,只要将这个位清零就可以对只读页表进行修改。
  1. /* make the page writable */ 
  2. int make_rw(unsigned long address) 
  4. unsigned int level; 
  5. pte_t *pte = lookup_address(address, &level);//查找虚拟地址所在的页表地址 
  6. pte->pte |= _PAGE_RW;//设置页表读写属性 
  7. return 0; 
  1. /* make the page write protected */ 
  2. int make_ro(unsigned long address) 
  4. unsigned int level; 
  5. pte_t *pte = lookup_address(address, &level); 
  6. pte->pte &= ~_PAGE_RW;//设置只读属性 
  7. return 0; 

1. 开始替换系统调用

(编辑:晋中站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0354zz.com/ All Rights Reserved. 晋中站长网