开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > Ftp客户端 > 查看源码
mod_linuxprivs.c
资源名称:proftpd-1.2.0pre8.tar.gz [点击查看]
上传用户:pycemail
上传日期:2007-01-04
资源大小:329k
文件大小:6k
源码类别:

Ftp客户端

开发平台:

Unix_Linux

mod_linuxprivs.c:源码内容
  1. /*
  2.  * ProFTPD - FTP server daemon
  3.  * Copyright (c) 1997, 1998 Public Flood Software
  4.  *  
  5.  * This program is free software; you can redistribute it and/or modify
  6.  * it under the terms of the GNU General Public License as published by
  7.  * the Free Software Foundation; either version 2 of the License, or
  8.  * (at your option) any later version.
  9.  *
  10.  * This program is distributed in the hope that it will be useful,
  11.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  12.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  13.  * GNU General Public License for more details.
  14.  *
  15.  * You should have received a copy of the GNU General Public License
  16.  * along with this program; if not, write to the Free Software
  17.  * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307, USA.
  18.  */
  20. /*
  21.  * Optional module for Linux 2.1.104 and > ONLY.  Uses the new "capabilities"
  22.  * in 2.1 kernels which allow root to perform fine grained control
  23.  * over system calls which may be performed (essential making root
  24.  * "not-root" in terms of syscalls).  Excellent for security.  See
  25.  * README.linux-privs.  In order to use this module you'll _need_ a
  26.  * a 2.1 kernel.  A psuedo-port of libcap is included with proftpd
  27.  * in the contrib/libcap directory.  From the top-level directory
  28.  * run ./configure --with-modules=mod_linuxprivs
  29.  * This will automatically build libcap and link it to proftpd.
  30.  *
  31.  * This module effectively _completely_ gives up root, except for
  32.  * the bare minimum functionality that is required, after user
  33.  * authentication.  VERY highly recommended for security-consious admins.
  34.  *
  35.  * NOTE: Linux kernels 2.1 are _development_ kernels, and are likely
  36.  * to change over time.  As this happens, we'll try to keep this module
  37.  * up to date.  Additionally, libcap is a tad buggy and not completely
  38.  * standardized.  This should be solved be the time Linux 2.2 is released.
  39.  * In the interim, we've had to "work-around" a few bugs in libcap, which
  40.  * is why a separate static library is included.
  41.  *
  42.  * -- DO NOT MODIFY THE TWO LINES BELOW --
  43.  * $Libraries: -Lcontrib/libcap -lcap$
  44.  * $Directories: contrib/libcap$
  45.  * $Id: mod_linuxprivs.c,v 1.4 1999/09/30 05:54:30 macgyver Exp $
  46.  */
  48. #include <stdio.h>
  49. #include <stdlib.h>
  50. #ifdef __powerpc__
  51. #define _LINUX_BYTEORDER_GENERIC_H
  52. #endif
  53. #include <linux/capability.h>
  54. #undef WNOHANG
  55. #undef WUNTRACED
  57. #include "conf.h"
  58. #include "privs.h"
  60. #include "../contrib/libcap/include/sys/capability.h"
  62. static cap_t capabilities = 0;
  63. static int use_capabilities = 1;
  65. /* log current capabilities */
  66. static void lp_debug()
  67. {
  68.   cap_t caps;
  69.   char *res;
  70.   ssize_t len;
  72.   caps = cap_get_proc();
  73.   if(!caps) {
  74.     log_pri(LOG_ERR,"module linuxprivs: cap_get_proc failed: %s",
  75.             strerror(errno));
  76.     return;
  77.   }
  79.   res = cap_to_text(caps,&len);
  80.   if(!res) {
  81.     log_pri(LOG_ERR,"module linuxprivs: cap_to_text failed: %s",
  82.             strerror(errno));
  83.     cap_free(&caps);
  84.     return;
  85.   }
  87.   log_debug(DEBUG1,"module linuxprivs: capabilities '%s'", res);
  88.   cap_free(&caps);
  89.   free(res);
  90. }
  92. /* create a new capability structure */
  93. static int lp_init_cap()
  94. {
  95.   if( !(capabilities = cap_init()) ) {
  96.     log_pri(LOG_ERR,"module linuxprivs: cap_init failed: %s",
  97.             strerror(errno));
  98.     return -1;
  99.   }
  100.   return 0;
  101. }
  103. /* free the capability structure */
  104. static void lp_free_cap()
  105. {
  106.   cap_free(&capabilities);
  107. }
  109. /* add a capability to a given set */
  110. static int lp_add_cap(cap_value_t cap, cap_flag_t set)
  111. {
  112.   if(cap_set_flag(capabilities, set, 1, &cap, CAP_SET) == -1) {
  113.     log_pri(LOG_ERR,"module linuxprivs: cap_set_flag failed: %s",
  114.                     strerror(errno));
  115.     return -1;
  116.   }
  118.   return 0;
  119. }
  121. /* send the capabilities to the kernel */
  122. static int lp_set_cap()
  123. {
  124.   if(cap_set_proc(capabilities) == -1) {
  125.     log_pri(LOG_ERR,"module linuxprivs: cap_set_proc failed: %s",
  126.                     strerror(errno));
  127.     return -1;
  128.   }
  130.   return 0;
  131. }
  133. /* The post cmd handler for "PASS" is only called after PASS has
  134.  * successfully completed, which means authentication is successful,
  135.  * so we can "tweak" our root access down to almost nothing.
  136.  */
  138. MODRET lowerprivs(cmd_rec *cmd)
  139. {
  140.   int ret;
  142.   if(!use_capabilities)
  143.     return DECLINED(cmd);
  145.   block_signals();
  146.   
  147.   /* glibc2.1 is BROKEN, seteuid() no longer lets one set euid to uid,
  148.    * so we can't use PRIVS_ROOT/PRIVS_RELINQUISH.  setreuid() is the
  149.    * workaround.
  150.    */
  152.   if(setreuid(session.uid,0) == -1) {
  153.     log_pri(LOG_ERR,"setreuid: %s",strerror(errno));
  154.     unblock_signals();
  155.     return DECLINED(cmd);
  156.   }
  158.   /* The only capability we need is CAP_NET_BIND_SERVICE (bind
  159.    * ports < 1024).  Everything else can be discarded.  We set this
  160.    * in CAP_PERMITTED set only, as when we switch away from root
  161.    * we lose CAP_EFFECTIVE anyhow, and must reset it.
  162.    */
  164.   ret = lp_init_cap();
  165.   if(ret != -1)
  166.     ret = lp_add_cap(CAP_NET_BIND_SERVICE,CAP_PERMITTED);
  167.   if(ret != -1)
  168.     ret = lp_set_cap();
  170.   if(setreuid(0,session.uid) == -1) {
  171.     log_pri(LOG_ERR,"setreuid: %s",strerror(errno));
  172.     unblock_signals();
  173.     end_login(1);
  174.   }
  175.   unblock_signals();
  177.   /* now our ownly capabilities consist of CAP_NET_BIND_SERVICE,
  178.    * however in order to actually be able to bind to low-numbered
  179.    * ports, we need the capability to be in the effective set.
  180.    */
  182.   if(ret != -1)
  183.     ret = lp_add_cap(CAP_NET_BIND_SERVICE,CAP_EFFECTIVE);
  184.   if(ret != -1)
  185.     ret = lp_set_cap();
  186.   if(capabilities)
  187.     lp_free_cap();
  189.   if(ret != -1) {
  190.     /* That's it!  Disable all further id switching */
  191.     session.disable_id_switching = TRUE;
  192.     lp_debug();
  193.   } else
  194.     log_pri(LOG_NOTICE,"attempt to configure capabilities failed, reverting to normal operation");
  196.   return DECLINED(cmd);
  197. }
  199. static int linuxprivs_init()
  200. {
  201.   /* Attempt to determine if we are running on a kernel that supports
  202.    * linuxprivs, this allows binary distributions to include the module
  203.    * even if it may not work.
  204.    */
  206.   if(!cap_get_proc() && errno == ENOSYS) {
  207. #if 0
  208.     log_debug(DEBUG1,"module linuxprivs: kernel does not support capabilities, disabling");
  209. #endif
  210.     use_capabilities = 0;
  211.   }
  213.   return 0;
  214. }  
  216. cmdtable linuxprivs_commands[] = {
  217.   { POST_CMD, C_PASS, G_NONE, lowerprivs, TRUE, FALSE },
  218.   { 0, NULL }
  219. };
  221. module linuxprivs_module = {
  222.   NULL, NULL, /* Always NULL */
  223.   0x20, /* API Version */
  224.   "linuxprivs", /* Module name */
  225.   NULL, /* No directive table */
  226.   linuxprivs_commands, /* Command handler table */
  227.   NULL, /* No auth table */
  228.   linuxprivs_init,NULL /* No child init */
  229. };