Utilisez find avec sudo en toute sécurité

Sur un serveur Linux, je dois supprimer les privilèges root d'un groupe d'utilisateurs. Mais ces utilisateurs ont des raisons légitimes de pouvoir utiliser l'utilitaire "find" pour rechercher des fichiers en fonction des noms de fichiers, des dates de modification et d'autres métadonnées.

Sur le serveur, les noms de fichiers ne sont pas sensibles, mais le contenu du fichier peut l'être.

Je voudrais utiliser sudo pour permettre aux utilisateurs de rechercher des fichiers n'importe où sur le serveur. L'utilitaire "find" est génial, mais il permet toutes sortes d'effets secondaires, comme l'utilisation de "-exec" pour générer des commandes arbitraires.

Puis - je obtenir findde travailler avec mes restrictions?

Et localiser ?

Locate lit une ou plusieurs bases de données préparées par updatedb (8) et écrit des noms de fichiers correspondant à au moins un des MOTIFS dans la sortie standard, un par ligne. Si --regex n'est pas spécifié, les MOTIFS peuvent contenir des caractères globbing. Si un MOTIF ne contient aucun caractère de remplacement, la localisation se comporte comme si le motif était un MOTIF .

Par défaut, Locate ne vérifie pas si les fichiers trouvés dans la base de données existent toujours. Locate ne peut jamais signaler les fichiers créés après la dernière mise à jour de la base de données concernée.

Ou peut-être même slocate :

Secure Locate fournit un moyen sécurisé d'indexer et de rechercher rapidement des fichiers sur votre système. Il utilise un codage incrémentiel tout comme GNU Locate pour compresser sa base de données pour accélérer la recherche, mais il stockera également les autorisations et la propriété des fichiers afin que les utilisateurs ne voient pas les fichiers auxquels ils n'ont pas accès.

Cette page de manuel documente la version GNU de slocate. slocate Permet aux utilisateurs du système de rechercher des systèmes de fichiers entiers sans afficher les fichiers non autorisés.

Selon man 7 capabilities

   CAP_DAC_READ_SEARCH
          * Bypass file read permission checks and directory read and execute permission checks;
          * Invoke open_by_handle_at(2).

Cela a fonctionné pour moi. (les lignes commençant par '#' sont root, celles avec '$' ne sont pas root) dans ce cas, l'utilisateur non root est dans le wheelgroupe.

# cp /usr/bin/find /usr/bin/sudofind
# chmod 710 /usr/bin/sudofind
# chown root:wheel /usr/bin/sudofind
# setcap cap_dac_read_search+ep /usr/bin/sudofind
# exit
$ find /root 
find: ‘/root’: Permission denied
$ sudofind /root
/root /root 
/root/Testbed 
...
... 
$ sudofind /root -exec cat {} \;
cat: /root: Permission denied 
cat: /root/Testbed: Permission denied
$ sudofind /root -printf "%u %g %m %c %p\n"
root root 644 Mon Apr 20 09:20:48.0457518493 2015 /root
root root 755 Fri Dec  4 02:34:03.0016294644 2015 /root/Testbed
...
...
$ # Capability inheritance test..
$ sudofind /root -exec /bin/sleep 10 \; &
[1] 17017
$ getpcaps $(pgrep find)
Capabilities for `17017': = cap_dac_read_search+ep
$ getpcaps $(pgrep sleep)
Capabilities for `17019': =

Compte tenu de ce que la capacité accorde, elle correspond exactement à ce que vous voulez. Je n'ai pas vérifié de manière exhaustive si findune fonctionnalité vous permet de lire des octets à l'intérieur des fichiers, mais des choses évidentes comme les LD_PRELOADattaques de cales de bibliothèque ne devraient pas fonctionner en raison de la nature des vérifications de setuid sous Linux, et les bits de capacité ne sont pas hérité par les processus enfants non plus (contrairement au setuid brut), c'est donc un autre bonus.

Gardez à l'esprit que ce que vous voulez faire soulève des problèmes de confidentialité potentiels en ce qui concerne la création de fichiers temporaires ou l'accès, et le programme pourrait être utilisé comme base pour monter une condition de concurrence critique / tentative d'escalade de privilèges (contre les programmes qui créent des noms de fichiers bien connus mais ne faites pas les contrôles de sécurité corrects).

De plus, certaines applications mal écrites peuvent s'appuyer sur des métadonnées de fichier ou une structure arborescente pour transmettre du sens ou masquer des données. Cela pourrait provoquer la divulgation d'informations restreintes ou révéler des documents privilégiés inconnus autrement (la sécurité par l'obscurité, je sais, mais c'est une chose que les fournisseurs de sources fermées en particulier aiment faire, malheureusement).

Par conséquent, soyez prudent et méfiez-vous de le faire et comprenez qu'il y a toujours un risque associé à cela, même si les choses évidentes ne fonctionnent pas.

Oh, et je serais intéressé de voir si quelqu'un a une attaque de preuve de concept qui utilise ce mécanisme comme base pour une élévation de privilèges dans les commentaires!

Je donnerais aux utilisateurs les autorisations appropriées.

Par défaut, si umask l'est 022, des répertoires sont créés pour que tout le monde puisse y lister et statuer les fichiers. Sinon, vous pouvez modifier manuellement l'autorisation du répertoire pour qu'elle soit au niveau du bit ou de ses anciennes autorisations et 0555:

chmod +0555 foo

Et si ces utilisateurs ne disposent pas de l'autorisation d'exécution sur tous les parents de ce répertoire (par exemple, le répertoire personnel d'un autre utilisateur), cela signifie probablement que vous devriez placer le premier répertoire ailleurs.

Si vous souhaitez autoriser uniquement certains utilisateurs à lire et exécuter ce répertoire, vous pouvez modifier son mode en 0750, placer ces utilisateurs dans un groupe et modifier le propriétaire du groupe du répertoire dans ce groupe:

groupadd can_read_foo
chmod 0750 foo
chgrp can_read_foo foo
gpasswd -a alice can_read_foo
gpasswd -a bob can_read_foo