Chr*_*ckx 6 java linux java-native-interface linux-capabilities
我已经完成了一个 Java 库,它使用带有 JNI 的 C 库。C库在linux中编译成.so文件。这个库需要cap_net_raw 能力。
执行一个没有额外权限的java 进程,该进程使用所述 java 库。将使用该库的实际进程是产品中已经存在的进程,我们不想授予它们更多权限。
为了测试这一点,我创建了一个jar并在使用和不使用sudo. 正如预期的那样,使用它会成功,但如果没有它,它就会失败。
SocketTester.javastatic {
System.loadLibrary("SocketTester");
}
private native int socketTest();
socketTester.h使用命令生成文件javac -h . SocketTester.java
socketTester.c实现socketTester.h并需要该cap_net_raw功能的文件gcc -o libSocketTester.so socketTester.c -shared -I/usr/lib/jvm/java-14-openjdk-amd64/include -I/usr/lib/jvm/java-14-openjdk-amd64/include/linux
libSocketTester.so到/usr/libsudo ldconfig
cd /usr/lib
sudo setcap cap_net_raw=epi libSocketTester.so
Test.java类public static void main(final String[] args) {
SocketTester tester = new SocketTester();
tester.socketTest();
}
SocketTester.java使用和创建一个 jarTest.javajava -cp socketTester.jar Test
.so向库添加上限sudo setcap cap_net_raw=epi libSocketTester.so
结果:失败
sudo setcap cap_net_raw=epi /usr/lib/jvm/java-14-openjdk-amd64/bin/java
结果:它有效,但这不是我想要的,因为现在所有 java 进程都具有该功能(请参阅目标部分中的粗体)。
为什么添加上限不起作用.so?我还能如何实现目标?
无数年前,我想出了如何让 PAM 模块分叉一个帮助程序,以便从非特权上下文中执行特权操作。这就是如何pam_unix.so能够调用unix_chkpwd来帮助非特权应用程序(ascreensaver或screen)接受用户密码以在 Linux 下解锁。
最近,我学习了使共享库对象(libcap.so等pam_cap.so)作为独立二进制文件工作的技巧。从那时起,我一直在考虑将这两种技术结合起来......研究这一点时,我遇到了这个问题。由于我能够为绑定到 port 的非特权程序的示例任务执行此操作80,因此我认为这里的答案可能会很有趣。
我已经完整地描述了它在完全可用的libcap分发站点上的工作原理,但它本质上可以归结为三件事:
.so可执行,具有自己的文件功能.so用于在链接到另一个程序时计算出自己的文件名(这使用_GNU_SOURCE扩展名:)dladdr()libcap:cap_launch()以通过私有通信机制(我使用使用 生成的 Unix 域套接字)分叉/执行自身(我使用socketpair())返回到应用程序链接的共享库代码。流程基本上是,应用程序调用该.so函数,该函数将.so文件作为分叉子进程调用并执行特权操作。然后它通过 Unix 域套接字将结果返回给应用程序并退出。