Технические особенности TinyWare.


Патч ядра "setcap". Включается при компиляции ядра опцией сборки CONFIG_SETCAP=y. Создает в подветке файловой системы /proc/sys/setcap файлы для управления общесистемными capabilities(7):
$ ls -la /proc/sys/setcap/
итого 0
dr-xr-xr-x 1 root root 0 апр 19 16:16 .
dr-xr-xr-x 1 root root 0 апр 19 16:05 ..
-rw-rw---- 1 root root 0 апр 19 16:16 disabled_caps
-rw-rw---- 1 root root 0 апр 19 16:16 enabled_caps
-rw------- 1 root root 0 апр 19 16:16 lock

Как видно из разрешений, отключать и включать capabilities могут члены группы root, запирать на замок только пользователь root.
Например команда
# sysctl setcap.disabled_caps=0,1,2,3

 или аналог
# echo "0,1,2,3" > /proc/sys/setcap/disabled_caps
  отключит системные возможности
CAP_CHOWN(0), CAP_DAC_OVERRIDE(1), CAP_DAC_READ_SEARCH(2), CAP_FOWNER(3). При попытке их использования возникает ошибка -EPERM для любого пользователя включая root. Если использовать замок

# sysctl setcap.lock=1

 или аналог

# echo "1" > /proc/sys/setcap/lock

, то изменить поведение системы будет невозможно до следующей перезагрузки.


Патч ядра "advanced chown". Включается при компиляции ядра опцией сборки CONFIG_FS_ADVANCED_CHOWN=y. Позволяет пользователям в своих каталогах работать с файлами так, как если бы они обладали CAP_CHOWN и CAP_FOWNER, т .е. пользователи могут менять владельцев и атрибуты файлов в своих каталогах.

Например я пользователь pavel с домашним каталогом /home/pavel и я могу:
- создать у себя файл или подкаталог и отдать его любому пользователю, например пользователю root:

pavel@mainpc:~$ touch test pavel@mainpc:~$ ls -l test
-rw------- 1 pavel users 0 апр 7 06:14 test
pavel@mainpc:~$ chown root:root test
pavel@mainpc:~$ ls -la test
-rw------- 1 root root 0 апр 7 06:14 test
- изменять права доступа на любые файлы и подкаталоги в своем каталоге (и на свои и на чужие):

pavel@mainpc:~$ ls -la test -rw------- 1 root root 0 апр 7 06:14 test
pavel@mainpc:~$ chmod 755 test
pavel@mainpc:~$ ls -l test
-rwxr-xr-x 1 root root 0 апр 7 06:14 test
- овладевать любыми файлами и подкаталогами в своем каталоге:

pavel@mainpc:~$ ls -l test -rwxr-xr-x 1 root root 0 апр 7 06:14 test
pavel@mainpc:~$ chown pavel:users test
pavel@mainpc:~$ ls -l test
-rwxr-xr-x 1 pavel users 0 апр 7 06:14 test
Выствление suid и sgid битов на чужие файлы рядовым пользователям конечно же запрещено из сображений безопасности.

Для чего этот механизм придуман? Он значительно облегчает обмен файлами в многопользовательской системе. Достаточно положить файл в папку адресату и и адресат овладеет им. Достаточно в своем каталоге запланировано отдать файлы, и другие пользователи получат к ним доступ.


Патч ядра для файловой системы /proc.
Включается при компиляции ядра опцией сборки CONFIG_PROC_RESTRICT_ACCESS=y.

Данный патч делает строже разрешения на каталоги процессов /proc/<pid> в файловой системе /proc c 555 на 750, при этом группа у всех каталогов назначается root, а владелец - владелец процесса:
$ ls -la /proc

drwxr-x--- 9 root root 0 май 6 13:10 1533
drwxr-x--- 9 pavel root 0 май 6 13:11 1534

drwxr-x--- 9 root root 0 май 6 2018 154

drwxr-x--- 9 pavel root 0 май 6 13:11 1546

drwxr-x--- 9 pavel root 0 май 6 13:11 1547

drwxr-x--- 9 root root 0 май 6 2018 155

drwxr-x--- 9 root root 0 май 6 2018 156

drwxr-x--- 9 root root 0 май 6 2018 16

Выше мы видим, что просматривать эти каталоги могут только владелец процесса и группа root, поэтому в выводе команды ps, пользователь увидит только свои процессы :
pavel@mainpc:~$ ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
pavel 1534 0.0 0.0 5284 3412 pts/2 S 13:11 0:00 -su
pavel 1549 0.0 0.0 3648 2132 pts/2 R+ 13:12 0:00 ps aux
Пользователь
root сохраняет свои возможности видеть все процессы системы за счёт группы root.


Патч ядра для учета rss лимита. По умолчанию в системе лимитов Linux (/etc/security/limits.conf) оставлен нереализованным в ядре учет по лимиту потребления резидентной памяти (реально выделенная процессу память). Данный патч делает работоспособным учет лимита по резидентной памяти rss.


Монтирование файловых систем /run/user/<uid>. Эти tmpfs файловые системы создаются системой при входе в нее пользователей. По умолчанию пользователи имеют возможность записывать в них в т.ч. исполняемые файлы и запускать их. Поэтомув TinyWare, с помощью плагина pam_exec.so,  эти файловые системы перемонтируются с noexec опцией (запрет исполнения программ).


Значение umask по умолчанию. Применяется umask 027, для того чтобы пользователи создавали новые файлы с доступом себе на чтение-запись и своей группе только на чтение.


Разрешения домашних каталогов пользователей.
Применяется разрешение 750, что позволяет входить в домашние каталоги только членам частных групп пользователей.