nfs_security_exec_file_type 包含
1 | apt_exec_t |
nfs_security_domain_type 包含
1 | auditctl_t |
nfs_security_file_type 包含
1 | etc_t |
针对nfs_security_exec_file_type对execute_no_trans权限的限制
1 | ifdef(`enable_mls',` |
对nfs_security_domain_type user_home_target 做了限制,放行nfs_security_domain_type对目录读写权限,限制用户的域访问其他用户的家目录
1 | constrain dir { open search } |
限制对nfs_security_file_type的读权限
1 | constrain dir_file_class_set { create relabelto relabelfrom } |
title: dbus方案
date: 2022-02-15 14:56:21
tags:
现在我们系统内一些在普通用户下需要无密码root权限的操作,是通过给对应的脚本或者程序sudo的NOPASSWD权限来实现的,这种实现方式存在很大的安全隐患,如果被配置了sudo的NOPASSWD的脚本被恶意篡改,那将会有很大的安全隐患。
以应用商城的安装脚本为例子
1 | /usr/share/cdos-softcenter/apt-get-bash.py |
脚本中很多步骤是不需要root权限的,需要的只有 install、remove、update、upgrade等操作,我们可以使用dbus的机制把这一部分操作摘取出来,放到一个服务中去,而其他的操作只给予普通用户权限。
针对这个我写了一个使用dbus替代的验证demo
在server端里添加一个回调函数 Test
1 | class SomeObject(dbus.service.Object): |
在client端发送method call来调用server的中的函数
1 | try: |
使用root用户执行
1 | python3 service.py |
普通用户执行
1 | python3 client.py remove d-feet -y |
得到执行服务端返回的执行结果
1 | client: |
针对不同的情况我还写了c的dbus的demo和qt的dbus的demo
c的dbus常用接口可以看dbus-c.md,使用方法可以看demo里的代码
服务端的代码可以看 dbus_receive()函数
发送端可以看dbus_send_signal()和dbus_send_method_call(),一个是发送signal,一个是发送method call请求,c的demo中,method call函数是将接收到的数据再原路返回。
c demo用法
root用户执行
1 | ./demo receive |
普通用户执行
1 | ./demo send SIGNAL STRING hello |
第一个发送signal ,发送数据类型为string,数据为hello,没有返回值
第二个是发送method call,数据类型为int,数据为99
在使用c的基础上又写了qt的demo
callback按钮为发送method call,在第一个输入框内输入字符,发送给服务端,接收返回结果在第二个框内显示,send为发送signal,这个可以使用c demo来作为服务端。
下面流程图为服务端处理method call的流程
下面流程图为服务端处理信号的流程
下面流程图为客户端发送函数调用的流程
下面流程图为客户端发送信号的流程图
将模块代码放到指定位置
drivers/char/vtcm/
然后添加Makefile
obj-$(CONFIG_VTCM) += vtcm.o
添加Kconfig
config VTCM
tristate “VTCM Driver Support”
depends on TCG_TPM
default m
help
This enables support for VTCM driver.
If unsure, say N.
修改 drivers/char/Makefile,添加
obj-$(CONFIG_VTCM) += vtcm/
修改 drivers/char/Kconfig,添加
source “drivers/char/vtcm/Kconfig”
audispd-plugins功能调研
audisp-remote.conf
remote_server = //插件将向其发送日志信息的远程服务器主机名或者地址。
port = 60 //远程服务器接受信息端口。
##local_port = //本地计算机发送信息时的端口,如果不指定,则使用任何可用的端口。
transport = tcp //此参数告诉远程日志记录应用程序如何将事件发送到远程系统。现在唯一有效的值是tcp。如果设置为tcp,远程日志记录应用程序将只与远程系统建立正常的明文连接。
queue_file = /var/spool/audit/remote.log //队列文件
mode = immediate //此参数告诉远程日志记录应用程序使用什么策略将记录获取到远程系统。有效值为immediate和 forward。如果设置为immediate,远程日志记录应用程序将尝试在获取事件后立即发送它们。forward意味着它会将事件存储到磁盘,然后尝试发送记录。如果无法建立连接,它将对记录进行排队,直到它可以连接到远程系统。
queue_depth = 10240 //此选项是一个无符号整数,用于确定在将其视为发送失败之前可以将多少条记录缓冲到磁盘或内存中。此参数影响模式选项的**转发模式和临时网络中断的内部排队。
format = managed //此参数告诉远程日志记录应用程序将使用哪种数据格式用于通过网络发送的消息。默认时managed会增加开销,如果改成ascii会减少开销
network_retry_time = 1 //检测到网络错误时重试之间的时间(以秒为单位)。
max_tries_per_record = 3 //尝试传递每条消息的最大次数。最小值为 1,因为即使是完全成功的交付也需要至少尝试一次。
max_time_per_record = 5 //尝试传递每条消息所花费的最长时间(以秒为单位)。
heartbeat_timeout = 0 //此参数确定客户端应以秒为单位向远程服务器发送心跳事件的频率。这用于让客户端和服务器都知道每一端都处于活动状态并且没有以没有不干净地关闭连接的方式终止。该值必须与服务器的tcp_client_max_idle设置相协调。默认值为 0,即禁用发送心跳。
network_failure_action = stop //此参数告诉系统在将审计事件发送到远程系统时检测到错误时要采取的操作。有效值为 ignore、syslog、exec、suspend、single、halt和stop。
disk_low_action = ignore //同样,如果远程端发出磁盘低错误信号,此参数会告诉系统采取什么操作。默认是忽略它。
disk_full_action = warn_once //此参数告诉系统如果远程端发出磁盘已满错误信号要采取的操作。
disk_error_action = warn_once //这个参数告诉系统如果远程端发出磁盘错误信号要采取什么行动。
remote_ending_action = reconnect //这个参数告诉系统如果远程端发出磁盘错误信号要采取什么行动。此操作有一个附加选项, 重新连接,它告诉远程插件在收到下一条审计记录后尝试重新连接到服务器。如果不成功,审计记录可能会丢失。
generic_error_action = syslog //如果远程端发出我们无法识别的错误信号,此参数会告诉系统采取什么操作。
generic_warning_action = syslog //这个参数告诉系统如果远程端发出我们不认识的警告信号要采取什么行动。
queue_error_action = stop //此参数告诉系统在使用本地记录队列时出现问题时要采取的操作。
overflow_action = syslog //这个参数告诉系统如果内部事件队列溢出要采取什么行动。有效值为ignore、syslog、suspend、 single和halt。
startup_failure_action = warn_once_continue //此参数告诉系统在启动期间连接到远程系统时出现错误时要采取的操作。有效值为 ignore、syslog、exec、warn_once 和 warn_once_continue。
##krb5_principal =
##krb5_client_name = auditd
##krb5_key_file = /etc/audisp/audisp-remote.key
撰写人:系统安全组
此文档提供一种使用dbus的机制来替代系统某些脚本权限过高的问题,我们系统中对一 些管理脚本赋予了sudo的NOPASSWD权限,如果脚本被修改执行,那么脚本可以直接 获取root权限,这个存在很大的安全隐患。 现在使用dbus写了一个demo,demo分为服务端和客戶端,客戶端相当于之前系统中的 管理脚本,只有普通用戶权限,将需要root权限的操作放到server端里去执行。
qt demo的模拟场景一个是需要root权限执行 autitcl命令时,有客户端发送method call 来请求,由服务端来执行具体的操作,以及一个发送signal的演示
需要安装的开发包libdbus-1-dev及需要移动一下头文件:
$ sudo apt install libdbus-1-dev -y
$ sudo cp /usr/lib/x86_64-linux-gnu/dbus-1.0/include/dbus/dbus-arch-deps.h /usr/include/dbus-1.0/dbus/
服务端编译
服务端代码是由c写的,进入c_service/编译service代码
1 | wky@wky-pc:~/qt$ cd c_service/ |
移动编译好的demo程序到/usr/bin/:
wky@wky-pc: sudo cp demo /usr/bin/
因为使用的是system bus,我们还需要给配置一下接口的conf文件,创建一个/etc/dbus-1/system.d/test1.conf内容如下:
1 | <!-- Bus that listens on a debug pipe and doesn't create any restrictions --> |
此文件中几个关键的配置说明:
system dbus 服务的bus类型,分为system和session,我们要垮用戶通信,就需要用 system总线 unix:tmpdir=/tmp 设置监听地址
dbus service文件目录,在/usr/share/dbus-1/system-services下 配置dbus的一些策略
主要是注册com.dbus.receiver_app,send_interface和send_destination为了方便 调试我这里都是用*。
为了使服务端随着系统启动就进行自启动,需要配置/usr/share/dbus-1/system-services/com.example.SampleService.service文件,示例如下: 在/usr/share/ dbus-1/system-services/下创建一个com.dbus.receiver_app.service
1 | wky@wky-pc:~$ cat /usr/share/dbus-1/system-services/com.dbus.receiver_app.service |
这个文件是用来给dbus服务程序做按需启动的,当客戶端发起请求时,会根据 test1.conf中的 在/usr/share/dbus-1/system-services/找到对应的service文件,来 启动dbus的服务程序。
Name=com.dbus.receiver_app 这个跟代码里服务程序的bus name对应起来。 Exec=/usr/bin/demo receive 这个为启动服务程序的方式。
User=root 启动服务程序的用戶,因为我们是为了替代sudo nopasswd权限滥用问 题,服务端就用root就可以。
编译客户端,进入到src目录中编译qt代码
wky@wky-pc:~/qt$ cd src/
wky@wky-pc:~/qt/src$ make
注:新的qt工程如果要用dbus接口,可能需要在Makefile中的INCPATH参数后面补充上 -I/usr/lib/x86_64-linux-gnu/qt5/mkspecs/linux-g++ -I/usr/include/dbus-1.0 -I/usr/lib/x86_64-linux-gnu/dbus-1.0/include -ldbus-1
然后执行 ./dbus 启动qt客户端
客户端一共两个按钮,signal按钮是向服务端发送一个信号,信号的信息填写到 路径 的textedit框中就可以发送给服务端
如果是手动执行的服务端程序就可以看到服务端打印的信息。
主要功能是第一个按钮 method call,是模拟执行下面这条命令
auditctl -w /tmp/111 -p wax -k testaudit
这条命令普通用户权限是无法执行的,只有root用户有权限
路径 中填入 /tmp/111
权限 中填入 wax
key值 中填入 testaudit
点击method call ,效果如下,如果服务端运行成功,则返回一个sucess
此时用root用户执行下面命令可以看到规则已经添加
1 | root@wky-pc:/home/wky/qt/src# auditctl -l |
这时候如果再点击method call ,因为规则已经存在,服务端执行命令失败,则返回一个false
可以使用root用户执行 auditctl -D 清空规则,再次执行就可以成功
以c的dbus demo代码为例子,做一个自启动的dbus服务配置
首先c demo的源码目录下有一个 test1.conf文
1 | <!-- Bus that listens on a debug pipe and doesn't create any restrictions --> |
先将这个文件放到 /etc/dbus-1/system.d/ 下,几个关键的配置说明
然后需要在/usr/share/dbus-1/system-services/下创建一个 com.dbus.receiver_app.service
1 | cat /usr/share/dbus-1/system-services/com.dbus.receiver_app.service |
这个文件是用来给dbus服务程序做按需启动的,当客户端发起请求时,会根据 test1.conf中的
Name=com.dbus.receiver_app 这个跟代码里服务程序的bus name对应起来
Exec=/usr/bin/demo receive 这个为启动服务程序的方式
User=root 启动服务程序的用户,因为我们是为了替代sudo nopasswd权限滥用问题,服务端就用root就可以
然后把c的源码编译一下,直接make一下,然后将编译好的demo复制一份到/usr/bin/下
再用普通用户执行
1 | wky@wky-pc:~/C_dbus$ ./demo send METHOD INT32 99 |
可以获取到服务端返回的返回值
1 | wky@wky-pc:~/C_dbus$ ps aux |grep demo |
使用ps查看一下,也可以看到服务端已经以root权限启动了
dbus错误结构体
1 | DBusError error; |
连接到dbus总线
1 | DBusConnection* connection = dbus_bus_get(DBUS_BUS_SYSTEM, &error); |
如果要用system bus,第一个参数就是DBUS_BUS_SYSTEM,如果要用session bus,那么第一个参数就是DBUS_BUS_SESSION
注册连接名称
1 | int ret = dbus_bus_request_name(connection, sender.bus_name, DBUS_NAME_FLAG_REPLACE_EXISTING, &error); |
第二个参数为 DBUS_APPLICATION sender;
接着创建完善和发送dbus消息,这个流程是发送信号的
1 | DBusMessage* message = dbus_message_new_signal(receiver.object_path, receiver.interface_name, receiver.member_name); |
如果是要发送函数调用,发送流程如下
1 | DBusMessage* message = dbus_message_new_signal(receiver.object_path, receiver.interface_name, receiver.member_name); |
阻塞等待函数返回结果
1 | dbus_pending_call_block(pending); |
提取结果
1 | dbus_message_iter_init(message, &iter) |
dbus错误结构体
1 | DBusError error; |
连接到dbus总线
1 | DBusConnection* connection = dbus_bus_get(DBUS_BUS_SYSTEM, &error); |
注册连接名称
1 | int ret = dbus_bus_request_name(connection, sender.bus_name, DBUS_NAME_FLAG_REPLACE_EXISTING, &error); |
添加消息筛选
1 | dbus_bus_add_match(connection, rule, &error); |
rule为char*
循环接收和处理消息
1 | dbus_connection_read_write(connection, 0); |
分析接收到的消息
1 | dbus_message_is_signal(message, self.interface_name, DBUS_MEMBER_SIGNAL) |
根据这两个函数的返回值判断接收到的是一个信号还是一个函数调用请求
此文档是在安装完gvm组件的kali系统上离线完成gvm初始化的操作文档
先修改 /etc/apt/sources.list ,将kali源更换一下,如果默认是这个源就不用换
1 | deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib |
执行下面命令将gvm相关的组建安装好
1 | ┌──(root💀kali)-[/home/kali] |
安装完可以查看下gvm的安装版本
1 | ┌──(root💀kali)-[/home/kali] |
如果是联网的环境,可以直接执行下面命令开始进行gvm的初始化流程
1 | ┌──(root💀kali)-[/home/kali] |
在安装过程成,可能会遇到系统里有两个版本PostgreSQL的情况
最新版本的gvm需要14版本的postgresql数据库,如果系统里默认的主版本是13版本,就需要修改一下
1 | ┌──(root💀kali)-[/home/kali] |
1 | ┌──(root💀kali)-[/home/kali] |
1 | ┌──(root💀kali)-[/home/kali] |
然后把14版本的PostgreSQL监听端口修改成5432
修改/etc/postgresql/14/main/postgresql.conf ,将其中的port = 修改为5432
1 | port = 5432 # (change requires restart) |
我已经将修改过的初始化脚本和备份好的数据库文件打包成init_gvm.tar.gz包
1 | ┌──(root💀kali)-[/home/kali] |
1 | ┌──(root💀kali)-[/home/kali/init_gvm] |
1 | ┌──(root💀kali)-[/home/kali/init_gvm] |
1 | ┌──(root💀kali)-[/home/kali/init_gvm] |
显示如上结果则表明初始化过程成功完成
然后重启下gvm的服务
1 | ┌──(root💀kali)-[/home/kali/init_gvm] |
1 | ┌──(root💀kali)-[/home/kali/init_gvm] |
打开浏览器,输入127.0.0.1:9392 如图,点击advanced,然后再点击 Accept the Risk and Continue
输入刚才设置的用户名密码
在Administration栏中选择feed status
等SCAP CERT GVMD_DATA的Status项从updating…的状态变为 xx days之后,就可以正常使用gvm来进行漏洞扫描了。
联网的机器更新更新漏洞数据库只需要执行下面命令即可
1 | ┌──(root💀kali)-[/home/wky] |
断网机器更新需要先将更新好的机器中数据库文件整体打包出来
1 | ┌──(root💀kali)-[/var/lib/openvas] |
将打包好的plugins.tar.gz 和gvm.tar.gz拿到断网机器上并复制到 /tmp目录下
然后再执行
1 | ┌──(root💀kali)-[/home/wky] |
即可,因为断网的更新脚本已经被修改过了,会在/tmp下寻找数据库的压缩包来更新数据库
使用dd刻盘时查看dd进度
sudo watch -n 5 killall -USR1 dd
growisofs -dvd-compat -speed=4 -Z /dev/sr0=test.iso