开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > Ftp客户端 > 查看源码
README.linux-privs
资源名称:proftpd-1.2.0pre8.tar.gz [点击查看]
上传用户:pycemail
上传日期:2007-01-04
资源大小:329k
文件大小:5k
源码类别:

Ftp客户端

开发平台:

Unix_Linux

README.linux-privs:源码内容
  1. Section 1.
  3. What is linux-privs?  What is the proftpd mod_linuxprivs module?
  4. ================================================================
  6. The linux-privs project is a project aimed at providing the POSIX.1e
  7. security model under Linux.  Documentation on the project as a whole
  8. can be found at:
  10. ftp://linux.kernel.org/pub/linux/libs/security/linux-privs
  12. Without going into gory detail, POSIX.1e basically specifies an interface
  13. to such goodies as capabilities, capability sets, access control lists,
  14. mandatory access control and much, much more.  The end result of this
  15. security model allows compliant systems and daemons to have VERY
  16. fine-grained control over what operations are allowed by which services
  17. on the system.
  19. The best part of the whole story is that Linux development kernels (2.1)
  20. already have two important facets of the security model in place, namely
  21. capabilities and capability sets.  Using these features allows a user-land
  22. program to specifically drop capabilities (which can be thought of as
  23. "privileges") which it does not need.  Once such capabilities are
  24. completely dropped, neither the user-land program OR any binary it should
  25. spawn will be allowed to perform privileged operations, *regardless*
  26. of whether the program is running as root or not.  Essentially, this
  27. limits the power of root to only those specific functions that are
  28. necessary, with the end effect of making the program much more secure.
  30. A non-supported contributed module has been added in the proftpd
  31. distribution, named mod_linuxprivs.  It can be found in the contrib
  32. directory, and a symlink in modules/ points to it.  Because Linux 2.1
  33. is a development kernel, the module is not compiled by default.
  35. Additionally, a small library is included in contrib; libcap.  This
  36. library provides the interface between mod_linuxprivs and the capability
  37. syscalls present in Linux 2.1 kernels.  (Note that this library is simply
  38. a slightly modified version of the libcap library which can be found at
  39. linux.kernel.org).  Building proftpd with the mod_linuxprivs module
  40. included (see below for instructions on how to do this) will automatically
  41. build and link in the required libcap library.
  43. When proftpd runs with mod_linuxprivs installed, its operation changes
  44. slightly:
  46. 1. The master proftpd process runs per normal (with full capabilities).
  48. 2. Child proftpd processes (or those run from inetd) drop ALL capabilities
  49.    except for cap_net_bind_service (which allows a process to bind to
  50.    ports < 1024) *immediately* after a client has authenticated.
  51.    Additionally, switching back and forth between root and the
  52.    authenticated user is no longer necessary, so uid swapping is disabled.
  53.    Once the additional capabilities have been dropped, proftpd (or
  54.    any programs it should exec) is not capable of performing any other
  55.    privileged functions (including chroot, mknod or mount).  If
  56.    proftpd should somehow be "coerced" into exec()ing another binary,
  57.    the kernel will drop ALL capabilities (including cap_net_bind_service),
  58.    and the binary that is exec'd will be incapable of performing
  59.    "dangerous" syscalls, REGARDLESS of the user it runs as.  With
  60.    capabilities and capability sets, root isn't necessarily "all
  61.    powerful" any more. ;)
  64. Section 2.
  66. What do I need to do to run mod_linuxprivs?
  67. ===========================================
  69. mod_linuxprivs currently requires that you be running a Linux kernel
  70. version 2.1.104 or newer.  It's been tested and verified to work with
  71. 2.1.122.  Should the kernel interface change in newer versions, we'll try
  72. to get the libcap library updated as quickly as possible. ;)
  74. Steps to building proftpd with mod_linuxprivs:
  76. 1. Verify you are running at LEAST kernel 2.1.104
  78. 2. Make absolutely sure that /usr/src/linux is a symlink to your
  79.    2.1.* kernel source tree.  This is required by libcap.
  81. 3. Run the top-level configure script using the --with-modules
  82.    argument to include mod_linuxprivs.  You don't need to copy
  83.    mod_linuxprivs.c from contrib/ to modules/, as there is already
  84.    a symlink in the modules/ directory.  Example:
  86.    ./configure --prefix=/usr --with-modules=mod_linuxprivs
  88.    If you're compiling in multiple modules (such as mod_ratio), you
  89.    would:
  91.    ./configure --prefix=/usr --with-modules=mod_ratios:mod_linuxprivs
  93. 4. Run make from the top-level directory just as you normally would.
  94.    This will build and link the library in contrib/libcap automatically.
  96. 5. "make install", etc, etc.
  98. If you want to verify that mod_linuxprivs is actually working, set
  99. proftpd's debug level to 1 (add the command line option: -d 1).  You
  100. should see a debug syslog message along the lines of "module linuxprivs:
  101. capabilities '= cap_net_bind_service+ep'" _after_ a client logs in.  This
  102. message indicates that proftpd has no capabilities except for
  103. cap_net_bind_service in the Effective and Permitted sets.  See the
  104. linux-privs documentation on linux.kernel.org for a detailed explanation
  105. of Effective, Permitted and Inheritable capability sets.  Normally, root
  106. runs with "=eip cap_setpcap-eip", meaning that all capabilities are raised
  107. (allowed) in each of the three sets, with the exception of cap_setpcap
  108. (only the pid 1 init process has this capability).  If you see the above
  109. log message, this indicates that proftpd has successfully dropped almost
  110. all of the capabilities that give root it's "power."
  112. Section 2.
  114. There is no section 2.