\newpage Les capabilities ================ ## Présentation Historiquement, dans la tradition UNIX, on distingue deux catégories de processus : * les processus *privilégiés* : dont l'identifiant de son utilisateur est 0 ; * les processus *non-privilégiés* : dont l'identifiant de son utilisateur n'est pas 0. Lors des différents tests de permission fait par le noyau, les processus privilégiés outrepassaient ces tests, tandis que les autres devaient passer les tests de l'effective UID, effective GID, et autres groupes supplémentaires... Depuis Linux 2.2 (en 1998), les processus privilégiés peuvent activer ou désactiver des *capabilities*, chacune donnant accès à un groupe d'actions privilégiées au sein du noyau. On trouve par exemple : * `CAP_CHOWN` : permet de modifier le propriétaire d'un fichier de manière arbitraire ; * `CAP_KILL` : permet de tuer n'importe quel processus ; * `CAP_SYS_BOOT` : permet d'arrêter ou de redémarrer la machine ; * `CAP_SYS_MODULE` : permet de charger et décharger des modules ; * et beaucoup d'autres, il y en a environ 39 en tout (ça dépend de la version du noyau) ! ### `ping` Pour émettre un ping, il est nécessaire d'envoyer des paquets ICMP. À la différence des datagrammes UDP ou des segments TCP, il n'existe pas d'interface exposée par le noyau aux utilisateurs pour envoyer des paquets ICMP. Pour le faire, il est nécessaire de pouvoir écrire directement sur l'interface ; ça, seul le super-utilisateur peut le faire. Pour permettre à tous les utilisateurs de pouvoir envoyer des ping, le programme est donc généralement Setuid root. Cela permet à n'importe quel utilisateur de prendre les droits du super-utilisateur, le temps de l'exécution du programme. Les problèmes surviennent lorsque l'on découvre des vulnérabilités dans les programmes Setuid root. En effet, s'il devient possible pour un utilisateur d'exécuter du code arbitraire, ce code sera exécuté avec les privilèges de l'utilisateur root ! Dans le cas de ping, on se retrouverait alors à pouvoir lire l'intégralité de la mémoire, alors que l'on avait juste besoin d'écrire sur une interface réseau. C'est donc à ce moment que les *capabilities* entrent en jeu : un processus (ou même un thread) privilégié peut décider, généralement à son lancement, de réduire ses *capabilities*, pour ne garder que celles dont il a réellement besoin. Ainsi, `ping` pourrait se contenter de `CAP_NET_RAW`. ## Les attributs de fichier étendus Une grosse majorité des systèmes de fichiers (ext[234], XFS, btrfs, ...) permettent d'enregistrer, pour chaque fichier, des attributs (dits attributs *étendus*, par opposition aux attributs *réguliers* qui sont réservés à l'usage du système de fichiers). Sous Linux, les attributs sont regroupés dans des espaces de noms : * *security* : espace utilisé par les modules de sécurité du noyau, tel que SELinux, ... ; * *system* : espace utilisé par le noyau pour stocker des objets système, tels que les ACL POSIX ; * *trusted*: espace dont la lecture et l'écriture est limité au super-utilisateur ; * *user* : modifiable sans restriction, à partir du moment où l'on est le propriétaire du fichier. Par exemple, on peut définir un attribut sur un fichier comme cela :