如何找出一个进程需要工作的Linux功能？

Question

我处在一个困难的境地,我不知道一个进程需要工作的Linux功能.什么是最好的方法,或任何方式找出所需的上限？

我现在唯一能想到的就是使用capsh并放弃进程上的所有上限.然后该过程失败,我开始添加大写(通过删除--drop = CAP_XZY),直到它工作.

有更好的建议吗？

Answer 1

基于最近的 libcap2 更新

1：（短选项）： getpcaps

描述：

从这里：

getpcaps 显示由命令行上给出的 pid 值指示的进程的功能。

例子：

$ getpcaps <PID>
PID: = cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap+i

2：（更长的选项）：/proc status 和 capsh

描述：

proc是一个进程信息伪文件系统，或者换句话说 - 一个可以查看所有进程信息的目录。

关于capsh：

可以使用此工具探索和限制 Linux 功能的支持和使用。该工具为某些类型的能力测试和环境创建提供了一个方便的包装器。
它还提供了一些对总结能力状态有用的调试特性。

例子：

$ cat /proc/<PID>/status | grep Cap

你会得到（在大多数系统上）：

CapInh: 00000000a80425fb (Inherited capabilities)
CapPrm: 0000000000000000 (Permitted capabilities)
CapEff: 0000000000000000 (Effective capabilities)
CapBnd: 00000000a80425fb (Bounding set)
CapAmb: 000000000000000  (Ambient capabilities set)

使用该capsh实用程序将十六进制数字解码为功能名称：

capsh --decode=00000000a80425fb
0x00000000a80425fb=cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap

(*) 您可以下载capsh：sudo apt-get install git libpcap-dev。

Answer 2

我不久前在Brendan Gregg 的这篇博文中遇到的另一种方法是使用功能跟踪器功能。

下面是一个示例输出：

$ sudo /usr/share/bcc/tools/capable
TIME      UID    PID    COMM             CAP  NAME                 AUDIT
11:31:54  0      2467   capable          21   CAP_SYS_ADMIN        1
11:31:54  0      2467   capable          21   CAP_SYS_ADMIN        1
11:31:59  1000   2468   ls               1    CAP_DAC_OVERRIDE     1
11:31:59  1000   2468   ls               2    CAP_DAC_READ_SEARCH  1
11:32:02  0      1421   timesync         25   CAP_SYS_TIME         1
11:32:05  1000   2469   sudo             7    CAP_SETUID           1
11:32:05  0      2469   sudo             6    CAP_SETGID           1

它具有记录内核对给定进程进行的能力检查的显着优势。这允许根据应用程序实际需要的功能来分析应用程序，例如缩小权限范围并作为非特权用户执行它。

虽然pscap允许列出所有正在运行的进程的有效能力，但它没有提供一种可靠的方法来检查进程实际上需要哪些能力，因为：

• 一个进程可能在其允许集中拥有能力 X，并且仅在短时间内将其提升到有效集以执行特权操作。
• 一个进程可以从更广泛的功能集开始，执行需要提升权限的初始化，并删除一些（或全部）功能（例如ping 打开原始套接字）。
• 它仅适用于已经以基于功能的方式运行的进程。如果您必须确定新开发的应用程序所需的最小功能集怎么办？
• 它不允许将针对应用程序进行的权限检查与其执行的操作相关联，并且能够为每次检查获取时间戳。

可以在github上获得能力的来源。此处提供BCC（包括有能力的）的安装说明。如需进一步说明，请参阅开头提到的博客文章，另请注意，有能力需要内核 4.4+，博客文章中也提供了旧内核的替代方案。

注意：我不是作者，也不以任何方式隶属于工具开发人员。我只是想把它带给更广泛的受众，因为我个人使用它为一个复杂的监控应用程序开发了一个功能配置文件，该应用程序以前需要完整的 root 权限才能运行，并且发现这个跟踪器有很大的帮助。

Answer 3

事实证明它比预期的要容易.安装libcap-ng(https://people.redhat.com/sgrubb/libcap-ng/)并使用pscap.

在Ubuntu 16.04中,它可以安装:

sudo apt-get install libcap-ng-utils

示例输出摘录:

ppid  pid   name        command           capabilities
1     468   root        systemd-journal   chown, dac_override, dac_read_search, fowner, setgid, setuid, sys_ptrace, sys_admin, audit_control, mac_override, syslog, audit_read
1     480   root        lvmetad           full
1     492   root        systemd-udevd     full
1     1040  root        rpc.idmapd        full
1     1062  root        rpc.gssd          full
1     1184  messagebus  dbus-daemon       audit_write +
1     1209  root        NetworkManager    dac_override, kill, setgid, setuid, net_bind_service, net_admin, net_raw, sys_module, sys_chroot, audit_write