'CAP_SYS_NICE'에 해당하는 글 1건

출처 : http://croky.tistory.com/15


LIDS Internals

글쓴이 : 채효철


*INDEX*

1. 소개
2. 중요한 소스 분석
3. 예제
4. 결론

-----------------------------
1. 소개

LIDS 는 Linux Intrusion Detection System 의 약자로서 리눅스 기반의 IDS 이다.
중국의 해커 Huagang Xie 로 부터 시작되어
최고의 보안 도구로 각광 받고 있다. 아직 국내에는 까다라온 사용법 때문에 실제로
적용된 사례가 잘 없지만 외국에는 널리 쓰이고 있다고 한다.
하지만 이름과는 다르게 IDS 의 뜻과는 달리 리눅스의 보안 강화로 요즘 유행하는
Secure OS 을 지향하고 있다.

-현재 시스템의 문제는 무엇일까?
 
  * 현재 파일 시스템은 보호되지 못한다
  * 프로세스도 보호되지 못한다
  * Access Control 모델이 부족하다
  * root 권한이 너무 막강하다.

-모듈 방식 보다 좋은점은 무엇일까?

모듈 방식은 한계가 있는것으로 알려져 있다. 유지보수가 쉬운 이유로
모듈로 작성되고 있지만 모듈 만으로 커널의 모든 자료구조를 접근할수가
없다. 물론 커널을 컴파일 할 당시에 커널에서 쓰이는 자료구조나 변수들을
export 시킨다면 가능은 하겠지만 일반적으로 필요한 것만 export 시키기 때문에
그것은 논외로 하겠다.

- 중요한 기능들

LIDS 에 어떤 중요한 기능이 있는지 살펴보기 위해 커널에 패치된 파일과 새로
생성된 파일들을 살펴보겠다. 우리의 목적은 LIDS 의 내부를 살펴보는 것이기 때문에
사용하는 방법엔 관심이 별로 없다.(물론, 분석을 할려면 어느정도는 알아야 된다)

-패치된 파일

init/main.c       /* 시작 루틴이 있음 */

kernel/fork.c     /* 프로세스 생성하는 부분 */
kernel/ksym.c
kernel/signal.c   /* 프로세스 보호 */
kernel/exit.c

fs/buffer.c
fs/dcache.c
fs/exec.c
fs/namei.c
fs/namespace.c
fs/readdir.c
fs/super.c
fs/open.c

fs/proc/base.c    /* 프로세스 감추기 */
fs/proc/root.c

-추가된 파일
kernel/lids.c     /* lids 의 핵심적 소스, 파일을 ACL 에 연결시키는등 */
kernel/klids.c          /* lids thread 이다. 초기화시 kernel_thread() 를 통해서
실행됨 */
kernel/lids_mail_script.c /* 경고를 메일로 보낸다 */
kernel/lids_syslog_script.c
kernel/lids_net.c                   /* 네트워크 관련 보호루틴 */
kernel/lids_logs.c                  /* 로그 남기는 루틴 */

소스 파일명을 보면 알수있듯이

파일 시스템 보안과 프로세스 보안으로 나눌수 있다.
proc/ 파일 아래의 소스들은 프로세스를 보호하고
fs/ 디렉토리의 소스들은 파일 시스템이 ACL 에 의해 보호되는지
체크하고 실패하면 경고를 낸다.  kernel/ 디렉토리에서 새로 생성된 파일들은 관리자에게
메일로 경고를 하거나 로그를 남긴다.


종합해 보자면 LIDS 의 특징은 다음과 같다.

보호(Protection). LIDS는 여러분의 하드 디스크에 있는 중요한 파일을 보호할 수 있다.
이때 파일시스템의 타입은 문제가 되지 않는다. 루트를 포함한 누구든지 지정된 파일을
변경할 수 없게 된다. LIDS는 또한 중요한 프로세스에 대해 kill 되어지는 것을 방지할 수
있다. LIDS는 인증되지 않은 프로그램으로부터의 RAW IO operation을 보호할 수 있다.
여러분의 하드디스크를 포함하여 MBR까지 보호할 수 있다.

탐지(Detection). 누군가 여러분의 호스트를 스캔했을 때 LIDS가 그것을 탐지하여 관리자
에게 알려줄 수 있다. LIDS는 또한 규정을 어긴 시스템상의 행동을 알아 챌 수도 있다.

응답(Response). LIDS에 의해 보호되고 있는 시스템 상에서 누군가 시스템상의 규정을
어겼을 때(주로 해킹을 위해) LIDS는 그 규정을 어긴 행동에 대해 자세한 메세지를 시스템
로그 파일로 기록한다. LIDS는 또한 여러분의 메일박스로 로그 메세지를 보낼 수도 있다.
이런 경우 LIDS는 즉시 유저 세션을 셧다운 시킬 수 있다.

2. 중요한 소스 분석

이번 절에서는 LIDS 소스에서 핵심적인 부분 몇가지를 분석하겠습니다.

- (1) 예) sys_ioperm

이 시스템콜은 I/O Port 를 접근하기 위해 커널에 허가를 요청 합니다.
커널 내부에서 이 요청이 허가된 사용자 - 루트인지 - 를 체크하기 위해

  62     if (turn_on && !capable(CAP_SYS_RAWIO)) {
  63 #ifdef CONFIG_LIDS
  64             lids_security_alert("CAP_SYS_RAWIO violation: attempted to g
  65 #endif
  66         return -EPERM;
  67     }

capable 함수는 인라인 함수로써 내부에 아래의 소스로 치환된다.

  if(cap_raised(current->cap_effective,cap))
  {
          current->flags != PF_SUPERPRIV;
        return 1;
  }

  이 함수는 current 즉 현재 프로세스의 cap_effective 라는 디스크립터를 검사해서
  CAP_SYS_RAWIO - 로우레벨 I/O 작업의 권환이 있는지 - 를 검사해서
  있다면 현재 프로세스의 PF_SUPERPRIV 플래그를 할당한다.

다시 돌아가서, 만약 허가되지 않은 사용자가 io_perm 을 호출했다면 lids_security_alert 가 실행된다.
이 함수는 lids_log 라는 함수를 호출해서 아래와 같은 동작을 한다.

  1. 현재 프로세스의 매핑된 영역중 executable 한 영역을 찾아
     매핑된 파일의 directory entry 를 얻는다.
  2. 현재 프로세스의 tty 이름을 얻는다.
  3. directory entry 와 tty 이름과 pid uid 등의 정보를 모아 프린트를 한다.

이 함수는 관리자에게 경고를 보내는 것이다.

LIDS 의 설계 목표중 하나가 Linux kernel 의 capability 지원을 강화하기 위한 것이다.
capability 에는 아래와 같은 속성이 있다.

CAP_CHOWN : 파일과 그룹의 허가권의 변경제한을 무시한다.
CAP_DAC_OVERRIDE : 파일 접속 퍼미션을 무시한다.
CAP_DAC_READ_SEARCH : 파일과 디렉토리의 읽기와 검색 허가를 무시한다.
CAP_FOWNER : 파일 허가권을 무시한다.
CAP_FSETID : setuid 와 setgid 플래그의 제한을 무시한다.
CAP_KILL : 시그널 보낼때의 제한을 무시한다.
CAP_SETGID : setgid 플래그 조작을 허용한다.
CAP_SETUID : setuid 플래그 조작을 허용한다.
CAP_SETPCAP : 다른 프로세스 에게 허가된 능력(capabilities) 의 부여한다.
CAP_LINUX_IMMUTABLE : 추가 전용파일이나 일정한 파일의 변경을 허용한다.
CAP_NET_BIND_SERVICE : TCP/IP socket 을 1024 번 이하로의 바인딩을 허용한다.
CAP_NET_BROADCAST : 네트워크 브로드캐스팅과 멀티캐스트를 듣는것을 허용한다.
CAP_NET_ADMIN : 일반적인 네트워킹 관리를 허용한다.
CAP_NET_RAW : RAW/PACKET socket 의 사용을 허용한다.
CAP_IPC_LOCK : 페이지나 메모리 세그먼트의 잠금을 허용한다.
CAP_IPC_OWNER : IPC 의 소유권 검사를 생략한다.
CAP_SYS_MODULE : 커널 모듈을 삽입/삭제 를 허용한다.
CAP_SYS_RAWIO : ioperm 과 iopl 을 이용해 I/O 포트에 접근을 허용한다.
CAP_SYS_CHROOT : chroot() 를 허용한다.
CAP_SYS_PTRACE : 어떤 프로세스에서나 ptrace() 를 허용한다.
CAP_SYS_PACCT : 프로세스 계정의 설정의 허용한다.
CAP_SYS_ADMIN : 일반적인 시스템 관리를 허용한다.
CAP_SYS_BOOT : reboot() 를 허용한다.
CAP_SYS_NICE : nice() 의 제한을 무시한다.
CAP_SYS_RESOURCE : 여러 자원 사용의 제한을 무시한다.
CAP_SYS_TIME : 시스템 시간과 실시간 시간의 조작을 허용한다.
CAP_SYS_TTY_CONFIG : tty 장치의 설정을 허용한다.
CAP_HIDDEN : 이 기능은 LIDS 에서 추가되는 것으로 프로세스를 숨기는 것이다.
CAP_KILL_PROTECTED : 이 함수 역시 LIDS 에서 추가되는 것으로 프로세스를 보호한다.
CAP_PROTECTED : 위와 유사

예를들어 nice 시스템 콜이 해당 프로세스가 요청을 할 권한이 있는지 검사하기 위해
capable(CAP_SYS_NICE) 로 검사하면 된다.


- (2) 프로세스 감추기

이 기능은 LIDS 패치에 의해 추가된 기능이다.
유닉스의 전형적인 명령어인 ps 를 실행하면 아래와 같이 프로세스가 출력된다.

root         1  0.0  0.1  1368  420 ?        S    Sep05   0:06 init
root         2  0.0  0.0     0    0 ?        SW   Sep05   0:00 [keventd]
root         3  0.0  0.0     0    0 ?        SW   Sep05   0:00 [kapmd]
root         4  0.0  0.0     0    0 ?        SWN  Sep05   0:00 [ksoftirqd_CPU0]
root         5  0.0  0.0     0    0 ?        SW   Sep05   0:00 [kswapd]
root         6  0.0  0.0     0    0 ?        SW   Sep05   0:00 [bdflush]
root         7  0.0  0.0     0    0 ?        SW   Sep05   0:00 [kupdated]
root         8  0.0  0.0     0    0 ?        SW   Sep05   0:00 [mdrecoveryd]
root        12  0.0  0.0     0    0 ?        SW   Sep05   0:00 [kjournald]
chc       1624  0.0  3.4 22844 8904 ?        S    Sep05   0:00 kdeinit: kwrited
chc       1632  0.0  3.5 21808 9044 ?        S    Sep05   0:00 korgac --miniicon
chc       1643  0.0  3.2 21776 8368 ?        S    Sep05   0:00 kalarmd --login
chc       1681  1.5 11.0 66376 28320 ?       S    Sep05   2:05 /usr/lib/mozilla/

잠깐 왜 우리가 프로세스를 잠궈야 할까? 그것은 해커가 루트를 획득한후 프로세스들을 제거하여
웹 서비스 같은것을 중단시킬수 있기 때문인데 예를들어 kill -9 4 를 하면
kswapd 가 죽지 않고 Zombie 상태가 될것이다. 그렇게 되면 우리가 예상한것 보다
큰 문제가 발생할 것이다.

ps 를 하게되면 내부적으로 아래와 같을 것이다.

1. execve("/bin/ps");
2. proc 라이브러리 열기
3. /proc 안에 있는 디렉토리들을 차례대로 열어서 프로세스들의 정보를 얻어낸다.
4. 만약 open("/proc/1624") 를 한다면, proc 가상 파일시스템을 거쳐서 proc_pid_lookup
  함수까지 가게된다.
  이 함수는 ls /proc 명령을 치게 되면 pid 가 디렉토리 목록으로 나올것이다.

아래 소스는 proc_pid_lookup 함수중 프로세스를 하이드 하는 부분이다.

1021 #ifdef CONFIG_LIDS
1022     if (cap_raised(task->lids_cap,CAP_HIDDEN) && lids_load && lids_local_load)
1023         inode=NULL;
1024     else
1025 #endif

자세한 설명을 하자면, task 프로세스의 lids_cap 에서 현재 capability 가 hidden 라면
얻어낸 inode 를 NULL 로 저장하여 보이지 않게 한다.

그런데 LIDS 가 패치된 커널 소스 안에는 프로세스를 숨기는 코드가 보이질 않는데
이것은 lids-adm 이라는 유저레벨 관리툴이 있어서 그 관리 프로그램으로
커널과 통신하여 관리할수 있다.

- (3) 파일 보호

보통 리눅스에서 파일에 접근 하려면 -rwxrwxrwx 이러한 권한만 가지고 접근여부를
결정한다. 하지만 이런것에 헛점이 있을수 있다. 그래서 LIDS 자체에서
강력한 파일시스템 보안을 제공한다.

커널 소스에서 파일에 접근하기 전에 반드시 lids_check_base 라는 함수를 호출한다.
이 함수는 dentry 와 플래그를 입력 받는다.

이 함수의 동작의 예를 들어보면
어떤 시스템콜을 통해서 /etc/apache 디렉토리에 접근하려고 한다.
그리고 현재 /etc 에는 ACL(Access Control List)에 기반하여 보호가 된다고 가정하자.

잠깐 우선 어떻게 관리할 파일(아이노드)이 기술되는지 살펴보겠다.
LIDS 에서 사용되는 자료구조는

struct lids_acl {
      struct lids_acl *next;
      unsigned long int ino;
      kdev_t  dev;
      int     type;                  
};

위와 같으며

next 는 다음 acl 을 가리키고
ino 는 관리될 파일(아이노드)를 가리키며
dev 는 디바이스 타입을 가리킨다.
type 는 읽기전용,쓰기전용,추가전용,접근불가 이렇게 나뉘며
특히 추가전용 같은 경우 로그파일 같은곳에 유용하다.

다시 돌아가서..
lids_check_base 의 동작 방법을 알아본다면,

while(dentry)
{
        만약 현재 프로세스가 도메인을 체크한다면
                lids_check_acl(base,flag);
        dentry = dentry->d_parent;        
}

이 소스는 parent dentry 로 가면서 dentry 가 LIDS 시스템에 의해 보호되고 있는지
체크를 하는 부분이다.

lids_check_acl 함수의 동작부분을 요약해보면 아래와 같다.

acl = current->lids_sys_acl->lids_domain;

while(acl != NULL)
{
        if(acl->ino == inode->i_ino)
                return 보호되고 있다;
}

그 다음부분은 lids_data 라는 자료구조에 들어가 있는 아이노드와 비교하여
리턴한다.

- (4) 그 외

지금까지 LIDS 에서 가장 많은 비중을 차지한 함수들을 분석하였다.
그 외에는 LIDS 관리 프로그램인 lids-adm 과 통신을 하기 위한 코드들이다.

3. 예제

이해를 돕기 위해 예제를 들어 보겠다.

유저모드에서 아래와 같은 문장을 실행하게 되면 lids.conf 에 2번과 같은 문장이
추가 될 것이다.

1) lidsadm -A -r /sbin/
2) 0:0::1:0:80483:770:/sbin:0-0
  각 필드들은 타입,아이노드,디바이스번호,파일명 등이다.

그리고 리부팅을 해서 커널의 처음 시작 루틴에서 lids_load 를 1로 설정한다.
초기에 lids_init() 를 호출하면 아래와 같은 루틴이 작동한다.

filp = filp_open(LIDS_CONF_FILE,O_RDONLY,O_RDONLY);

즉 /etc/lids.conf 을 연다.

filp->f_op->read(filp,buffer,1024,&filp->f_pos);

설정 파일에서 1024 바이트만 읽는다. 물론 이 연산은 유저모드에서 커널모드로
복사해 오는것이기 때문에 더 복잡하다.

한줄씩 읽으면서 #으로 시작하면 넘어가고 아니면 lids_init_add_file 을 호출해서
한줄에 읽은 문자열을 넘겨줘서 분석을 하고 각 필드들을 메모리에 넣고
나머지 아이노드,타입,파일명 필드는 lids_get_info 함수에서 처리한다.
그런후에 얻어진 inode 번호등을 이용해 lids_add_acl 함수로 acl list 에 추가하게
되는 것이다. 그리고 앞에서 보았듯이 디렉토리에 접근 할때는 acl list 를
검사한다.

'Linux' 카테고리의 다른 글

우분투 종료방법 (ubuntu shutdown)  (1) 2011.03.04
리눅스에서 CD 굽기기  (0) 2011.03.04
__attribute__ __context__ sparse  (0) 2011.02.15
#define 활용, macro, preprocess (DEBUG, printf)  (0) 2010.12.07
linux directory dirent.h  (0) 2010.12.05

WRITTEN BY
RootFriend
개인적으로... 나쁜 기억력에 도움되라고 만들게되었습니다.

,