首次购买高性能云服务器,享低至2折优惠

搜搜吧

查看: 5|回复: 0

[资讯] 如何增强Linux内核中的访问控制安全[含8P]

[复制链接]
  • TA的每日心情
    奋斗
    昨天 13:35
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    超级VIP贵宾会员

    113

    主题

    117

    帖子

    365

    积分

    Rank: 1

    UID
    21335
    威望
    -7
    贡献
    148
    在线时间
    2 小时
    注册时间
    2018-12-6
    发表于 7 天前 | 显示全部楼层 |阅读模式
    推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

    背景

    前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了尽可能的满足人们需求,不得不提供一些供人们定制操作系统的机制。当然除了官方提供的一些机制,也有一些黑魔法,这些黑魔法不被推荐使用,但是有时候面对具体的业务场景,可以作为一个参考的思路。

    b6db8e2f72b4735e1a4c80cdb629c001.jpg-wh_651x-s_2027504364.jpg

    Linux中常见的拦截过滤

    本文着重介绍Linux平台上常见的拦截:

    • 用户态动态库拦截。
    • 内核态系统调用拦截。
    • 堆栈式文件系统拦截。
    • inline hook拦截。
    • LSM(Linux Security Modules)

    动态库劫持

    Linux上的动态库劫持主要是基于LD_PRELOAD环境变量,这个环境变量的主要作用是改变动态库的加载顺序,让用户有选择的载入不同动态库中的相同函数。但是使用不当就会引起严重的安全问题,我们可以通过它在主程序和动态连接库中加载别的动态函数,这就给我们提供了一个机会,向别人的程序注入恶意的代码。

    假设有以下用户名密码验证的函数:

    • #include <stdio.h>
    • #include <string.h>
    • #include <stdlib.h>
    • int main(int argc, char **argv)
    • {
    • char passwd[] = "password";
    • if (argc < 2) {
    • printf("Invalid argc!\n");
    • return;
    • }
    • if (!strcmp(passwd, argv[1])) {
    • printf("Correct Password!\n");
    • return;
    • }
    • printf("Invalid Password!\n");
    • }

    我们再写一段hookStrcmp的程序,让这个比较永远正确。

    • #include <stdio.h>
    • int strcmp(const char *s1, const char *s2)
    • {
    • /* 永远返回0,表示两个字符串相等 */
    • return 0;
    • }

    依次执行以下命令,就会使我们的hook程序先执行。

    • gcc -Wall -fPIC -shared -o hookStrcmp.so hookStrcmp.c
    • export LD_PRELOAD=”./hookStrcmp.so”

    结果会发现,我们自己写的strcmp函数优先被调用了。这是一个最简单的劫持 ,但是如果劫持了类似于geteuid/getuid/getgid,让其返回0,就相当于暴露了root权限。所以为了安全起见,一般将LD_PRELOAD环境变量禁用掉。

    Linux系统调用劫持

    最近发现在4.4.0的内核中有513多个系统调用(很多都没用过),系统调用劫持的目的是改变系统中原有的系统调用,用我们自己的程序替换原有的系统调用。Linux内核中所有的系统调用都是放在一个叫做sys_call_table的内核数组中,数组的值就表示这个系统调用服务程序的入口地址。整个系统调用的流程如下:

    13c058702616e53df71f8561ce86c550.jpg

    当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用表sys_call_table去查找具体的系统调用,那么如果我们将这个数组中的地址改成我们自己的程序地址,就可以实现系统调用劫持。但是内核为了安全,对这种操作做了一些限制:

    • sys_call_table的符号没有导出,不能直接获取。
    • sys_call_table所在的内存页是只读属性的,无法直接进行修改。

    对于以上两个问题,解决方案如下(方法不止一种):

    • 获取sys_call_table的地址 :
      • grep sys_call_table /boot/System.map-uname -r
    • 控制页表只读属性是由CR0寄存器的WP位控制的,只要将这个位清零就可以对只读页表进行修改。
    • /* make the page writable */
    • int make_rw(unsigned long address)
    • {
    • unsigned int level;
    • pte_t *pte = lookup_address(address, &level);//查找虚拟地址所在的页表地址
    • pte->pte |= _PAGE_RW;//设置页表读写属性
    • return 0;
    • }
    • /* make the page write protected */
    • int make_ro(unsigned long address)
    • {
    • unsigned int level;
    • pte_t *pte = lookup_address(address, &level);
    • pte->pte &= ~_PAGE_RW;//设置只读属性
    • return 0;
    • }

    1. 开始替换系统调用

    本文实现的是对 ls这个命令对应的系统调用,系统调用号是__NR_getdents。

    • static int syscall_init_module(void)
    • {
    • orig_getdents = sys_call_table[__NR_getdents];
    • make_rw((unsigned long)sys_call_table); //修改页属性
    • sys_call_table[__NR_getdents] = (unsigned long *)hacked_getdents; //设置新的系统调用地址
    • make_ro((unsigned long)sys_call_table);
    • return 0;
    • }

    2. 恢复原状

    • static void syscall_cleanup_module(void)
    • {
    • printk(KERN_ALERT "Module syscall unloaded.\n");
    • make_rw((unsigned long)sys_call_table);
    • sys_call_table[__NR_getdents] = (unsigned long *)orig_getdents;
    • make_ro((unsigned long)sys_call_table);
    • }

    使用Makefile编译,insmod插入内核模块后,再执行ls时,就会进入到我们的系统调用,我们可以在hook代码中删掉某些文件,ls就不会显示这些文件,但是这些文件还是存在的。

    堆栈式文件系统

    Linux通过vfs虚拟文件系统来统一抽象具体的磁盘文件系统,从上到下的IO栈形成了一个堆栈式。通过对内核源码的分析,以一次读操作为例,从上到下所执行的流程如下:

    83fa1c2e9ea4be2e475a0ebf16f3f5f3.jpg

    内核中采用了很多c语言形式的面向对象,也就是函数指针的形式,例如read是vfs提供用户的接口,具体底下调用的是ext2的read操作。我们只要实现VFS提供的各种接口,就可以实现一个堆栈式文件系统。Linux内核中已经集成了一些堆栈式文件系统,例如Ubuntu在安装时会提醒你是否需要加密home目录,其实就是一个堆栈式的加密文件系统(eCryptfs),原理如下:

    6da88a145cee46ec206519f00af99e51.jpg

    实现了一个堆栈式文件系统,相当于所有的读写操作都会进入到我们的文件系统,可以拿到所有的数据,就可以进行做一些拦截过滤。

    以下是我实现的一个最简单的堆栈式文件系统,实现了最简单的打开、读写文件,麻雀虽小但五脏俱全。

    https://github.com/wangzhangjun/wzjfs

    inline hook

    我们知道内核中的函数不可能把所有功能都在这个函数中全部实现,它必定要调用它的下层函数。如果这个下层函数可以得到我们想要的过滤信息内容,就可以把下层函数在上层函数中的offset替换成新的函数的offset,这样上层函数调用下层函数时,就会跳到新的函数中,在新的函数中做过滤和劫持内容的工作。所以从原理上来说,inline hook可以想hook哪里就hook哪里。

    db7a5f1d5ba983b16f851325f4e04dbf.jpg

    inline hook 有两个重要的问题:

    • 如何定位hook点。
    • 如何注入hook函数入口。

    1. 对于第一个问题:

    需要有一点的内核源码经验,比如说对于read操作,源码如下:

    fef08bab764d6a57606b996e9d3556b1.jpg

    在这里当发起read系统调用后,就会进入到sys_read,在sys_read中会调用vfs_read函数,在vfs_read的参数中正好有我们需要过滤的信息,那么就可以把vfs_read当做一个hook点。

    2. 对于第二个问题:

    如何Hook?这里介绍两种方式:

    • 第一种方式:直接进行二进制替换,将call指令的操作数替换为hook函数的地址。

      ef5a6b89f3099cb471978d8772552eeb.jpg

    • 第二种方式:Linux内核提供的kprobes机制。

    其原理是在hook点注入int 3(x86)的机器码,让cpu运行到这里的时候会触发sig_trap信号,然后将用户自定义的hook函数注入到sig_trap的回调函数中,达到触发hook函数的目的。这个其实也是调试器的原理。

    LSM

    LSM是Linux Secrity Module的简称,即linux安全模块。是一种通用的Linux安全框架,具有效率高,简单易用等特点。原理如下:

    650d13afb681ee36601bfd6abe99d455.jpg

    LSM在内核中做了以下工作:

    • 在特定的内核数据结构中加入安全域。
    • 在内核源代码中不同的关键点插入对安全钩子函数的调用。
    • 加入一个通用的安全系统调用。
    • 提供了函数允许内核模块注册为安全模块或者注销。
    • 将capabilities逻辑的大部分移植为一个可选的安全模块,具有可扩展性。

    适用场景

    对于以上几种Hook方式,有其不同的应用场景。

    • 动态库劫持不太完全,劫持的信息有可能满足不了我们的需求,还有可能别人在你之前劫持了,一旦禁用LD_PRELOAD就失效了。
    • 系统调用劫持,劫持的信息有可能满足不了我们的需求,例如不能获取struct file结构体,不能获取文件的绝对路径等。
    • 堆栈式文件系统,依赖于Mount,可能需要重启系统。
    • inline hook,灵活性高,随意Hook,即时生效无需重启,但是在不同内核版本之间通用性差,一旦某些函数发生了变化,Hook失效。
    • LSM,在早期的内核中,只能允许一个LSM内核模块加载,例如加载了SELinux,就不能加载其他的LSM模块,在最新的内核版本中不存在这个问题。

    总结

    篇幅有限,本文只是介绍了Linux上的拦截技术,后续有机会可以一起探讨windows和macOS上的拦截技术。事实上类似的审计HOOK放到任何一个系统中都是刚需,不只是kernel,我们可以看到越来越多的vm和runtime甚至包括很多web组件、前端应用都提供了更灵活的hook方式,这是透明化和实时性两个安全大趋势下最常见的解决方案。

    【本文是51CTO专栏作者“ThoughtWorks”的原创稿件,微信公众号:思特沃克,转载请联系原作者】


    楼主热帖排行榜
    搜搜吧社区温馨提示:
    搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
    1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
    2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
    3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
    4、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-sosoba@qq.com 一个工作日内核实并邮件通知立即删除
    soso搜搜吧社区是聚合百度搜索,搜狗搜索,360搜索,新闻,教育,站长,广告,娱乐,影视,微信,网盘,营销,手机,汽车,游戏,论坛综合为一体的大型门户社区www.sosoba.org
    Powered by www.sosoba.org X3.4© 2013-2019 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
    搜搜吧社区官网创建于2013年07月23日,本站内容均为会员发表,并不代搜搜吧社区立场,请遵守当地相关法律,客服邮箱: kefu-sosoba@qq.com
    本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
    推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗,百度浏览器,Safari浏览器,ios,Android

    GMT+8, 2018-12-13 16:22 , Processed in 1.140625 second(s), 30 queries , Gzip On.

    快速回复 返回顶部 返回列表