* [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd
@ 2020-04-18 14:12 Mikhail Novosyolov
2020-04-18 14:23 ` Alexey Sheplyakov
0 siblings, 1 reply; 6+ messages in thread
From: Mikhail Novosyolov @ 2020-04-18 14:12 UTC (permalink / raw)
To: ALT Linux Team development discussions
Сделал chroot на основе http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p8/cloud/alt-p8-rootfs-systemd-x86_64.tar.xz
Создал пользователя (useradd --uid 1000 user)
но не могу войти под этим пользователем:
[root@pay2 /]# su - user
su: exec failed
[root@pay2 /]# strace -f su - user -c /bin/bash 2>&1 | grep bin/bash
execve("/bin/su", ["su", "-", "user", "-c", "/bin/bash"], 0x7ffccf65b4a8 /* 30 vars */) = 0
[pid 37104] execve("/bin/bash", ["-bash", "-c", "/bin/bash"], 0x12fa9a0 /* 17 vars */) = -1 EAGAIN (Ресурс временно недоступен)
[root@pay2 /]# sudo -u user -i
-bash: fork: Ресурс временно недоступен
-bash-3.2$ ls
-bash: fork: Ресурс временно недоступен
Как такое может быть?!
control su public ожидаемо не помог. В /etc/pam.d/ ничего подозрительного не нашел. pam_securetty отключен.
^ permalink raw reply [flat|nested] 6+ messages in thread* Re: [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd 2020-04-18 14:12 [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd Mikhail Novosyolov @ 2020-04-18 14:23 ` Alexey Sheplyakov 2020-04-18 15:37 ` Mikhail Novosyolov 0 siblings, 1 reply; 6+ messages in thread From: Alexey Sheplyakov @ 2020-04-18 14:23 UTC (permalink / raw) To: ALT Linux Team development discussions On Sat, Apr 18, 2020 at 05:12:52PM +0300, Mikhail Novosyolov wrote: > Сделал chroot на основе http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p8/cloud/alt-p8-rootfs-systemd-x86_64.tar.xz > > Создал пользователя (useradd --uid 1000 user) > > но не могу войти под этим пользователем: > > [root@pay2 /]# su - user > su: exec failed > > [root@pay2 /]# strace -f su - user -c /bin/bash 2>&1 | grep bin/bash > execve("/bin/su", ["su", "-", "user", "-c", "/bin/bash"], 0x7ffccf65b4a8 /* 30 vars */) = 0 > [pid 37104] execve("/bin/bash", ["-bash", "-c", "/bin/bash"], 0x12fa9a0 /* 17 vars */) = -1 EAGAIN (Ресурс временно недоступен) > > [root@pay2 /]# sudo -u user -i > -bash: fork: Ресурс временно недоступен > -bash-3.2$ ls > -bash: fork: Ресурс временно недоступен > > Как такое может быть?! ulimit -a Лимит на число процессов (на самом деле -- потоков) зачем-то выставлен в 512. Если у Вас в хост системе уже есть пользователь с UID 1000, и, например, запущен firefox с 100+ вкладок, desktop environment, и т.п., то шансов вписаться этот жлобский^W скудный лимит крайне мало. Пример. $ ps -T -u `whoami` |wc -l 806 Хранятся эти настройки в /etc/security/limits.conf (и еще в каком-то месте). ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd 2020-04-18 14:23 ` Alexey Sheplyakov @ 2020-04-18 15:37 ` Mikhail Novosyolov 2020-04-18 17:12 ` Ivan A. Melnikov 2020-04-20 14:44 ` Alexey Sheplyakov 0 siblings, 2 replies; 6+ messages in thread From: Mikhail Novosyolov @ 2020-04-18 15:37 UTC (permalink / raw) To: devel 18.04.2020 17:23, Alexey Sheplyakov пишет: > On Sat, Apr 18, 2020 at 05:12:52PM +0300, Mikhail Novosyolov wrote: >> Сделал chroot на основе http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p8/cloud/alt-p8-rootfs-systemd-x86_64.tar.xz >> >> Создал пользователя (useradd --uid 1000 user) >> >> но не могу войти под этим пользователем: >> >> [root@pay2 /]# su - user >> su: exec failed >> >> [root@pay2 /]# strace -f su - user -c /bin/bash 2>&1 | grep bin/bash >> execve("/bin/su", ["su", "-", "user", "-c", "/bin/bash"], 0x7ffccf65b4a8 /* 30 vars */) = 0 >> [pid 37104] execve("/bin/bash", ["-bash", "-c", "/bin/bash"], 0x12fa9a0 /* 17 vars */) = -1 EAGAIN (Ресурс временно недоступен) >> >> [root@pay2 /]# sudo -u user -i >> -bash: fork: Ресурс временно недоступен >> -bash-3.2$ ls >> -bash: fork: Ресурс временно недоступен >> >> Как такое может быть?! > ulimit -a > > Лимит на число процессов (на самом деле -- потоков) зачем-то выставлен в 512. > Если у Вас в хост системе уже есть пользователь с UID 1000, и, например, > запущен firefox с 100+ вкладок, desktop environment, и т.п., то шансов > вписаться этот жлобский^W скудный лимит крайне мало. Пример. > > $ ps -T -u `whoami` |wc -l > 806 > > Хранятся эти настройки в /etc/security/limits.conf (и еще в каком-то месте). Не. Дело не в ulimit. В соседнем контейнере с запуском от UID=1000 нет проблем. Это именно в контейнере что-то не то. ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd 2020-04-18 15:37 ` Mikhail Novosyolov @ 2020-04-18 17:12 ` Ivan A. Melnikov 2020-04-18 17:19 ` Vladimir D. Seleznev 2020-04-20 14:44 ` Alexey Sheplyakov 1 sibling, 1 reply; 6+ messages in thread From: Ivan A. Melnikov @ 2020-04-18 17:12 UTC (permalink / raw) To: ALT Linux Team development discussions On Sat, Apr 18, 2020 at 06:37:55PM +0300, Mikhail Novosyolov wrote: > 18.04.2020 17:23, Alexey Sheplyakov пишет: > > On Sat, Apr 18, 2020 at 05:12:52PM +0300, Mikhail Novosyolov wrote: > >> Сделал chroot на основе http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p8/cloud/alt-p8-rootfs-systemd-x86_64.tar.xz > >> > >> Создал пользователя (useradd --uid 1000 user) > >> > >> но не могу войти под этим пользователем: > >> > >> [root@pay2 /]# su - user > >> su: exec failed > >> > >> [root@pay2 /]# strace -f su - user -c /bin/bash 2>&1 | grep bin/bash > >> execve("/bin/su", ["su", "-", "user", "-c", "/bin/bash"], 0x7ffccf65b4a8 /* 30 vars */) = 0 > >> [pid 37104] execve("/bin/bash", ["-bash", "-c", "/bin/bash"], 0x12fa9a0 /* 17 vars */) = -1 EAGAIN (Ресурс временно недоступен) > >> > >> [root@pay2 /]# sudo -u user -i > >> -bash: fork: Ресурс временно недоступен > >> -bash-3.2$ ls > >> -bash: fork: Ресурс временно недоступен > >> > >> Как такое может быть?! > > ulimit -a > > > > Лимит на число процессов (на самом деле -- потоков) зачем-то выставлен в 512. > > Если у Вас в хост системе уже есть пользователь с UID 1000, и, например, > > запущен firefox с 100+ вкладок, desktop environment, и т.п., то шансов > > вписаться этот жлобский^W скудный лимит крайне мало. Пример. > > > > $ ps -T -u `whoami` |wc -l > > 806 > > > > Хранятся эти настройки в /etc/security/limits.conf (и еще в каком-то месте). > Не. Дело не в ulimit. Если execve вернул EAGAIN, то скорее всего дело именно в нём. В том месте, где у Вас ls не запускается, посмотрите на ulimit -a, это builtin, ему вроде форк не нужен. > В соседнем контейнере с запуском от UID=1000 нет проблем. Так может он всё и исчерпал? -- wbr, iv m. ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd 2020-04-18 17:12 ` Ivan A. Melnikov @ 2020-04-18 17:19 ` Vladimir D. Seleznev 0 siblings, 0 replies; 6+ messages in thread From: Vladimir D. Seleznev @ 2020-04-18 17:19 UTC (permalink / raw) To: ALT Linux Team development discussions On Sat, Apr 18, 2020 at 09:12:53PM +0400, Ivan A. Melnikov wrote: > On Sat, Apr 18, 2020 at 06:37:55PM +0300, Mikhail Novosyolov wrote: > > 18.04.2020 17:23, Alexey Sheplyakov пишет: > > > On Sat, Apr 18, 2020 at 05:12:52PM +0300, Mikhail Novosyolov wrote: > > >> Сделал chroot на основе http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p8/cloud/alt-p8-rootfs-systemd-x86_64.tar.xz > > >> > > >> Создал пользователя (useradd --uid 1000 user) > > >> > > >> но не могу войти под этим пользователем: > > >> > > >> [root@pay2 /]# su - user > > >> su: exec failed > > >> > > >> [root@pay2 /]# strace -f su - user -c /bin/bash 2>&1 | grep bin/bash > > >> execve("/bin/su", ["su", "-", "user", "-c", "/bin/bash"], 0x7ffccf65b4a8 /* 30 vars */) = 0 > > >> [pid 37104] execve("/bin/bash", ["-bash", "-c", "/bin/bash"], 0x12fa9a0 /* 17 vars */) = -1 EAGAIN (Ресурс временно недоступен) > > >> > > >> [root@pay2 /]# sudo -u user -i > > >> -bash: fork: Ресурс временно недоступен > > >> -bash-3.2$ ls > > >> -bash: fork: Ресурс временно недоступен > > >> > > >> Как такое может быть?! > > > ulimit -a > > > > > > Лимит на число процессов (на самом деле -- потоков) зачем-то выставлен в 512. > > > Если у Вас в хост системе уже есть пользователь с UID 1000, и, например, > > > запущен firefox с 100+ вкладок, desktop environment, и т.п., то шансов > > > вписаться этот жлобский^W скудный лимит крайне мало. Пример. > > > > > > $ ps -T -u `whoami` |wc -l > > > 806 > > > > > > Хранятся эти настройки в /etc/security/limits.conf (и еще в каком-то месте). > > Не. Дело не в ulimit. > > Если execve вернул EAGAIN, то скорее всего дело именно в нём. > В том месте, где у Вас ls не запускается, посмотрите на > ulimit -a, это builtin, ему вроде форк не нужен. > > > В соседнем контейнере с запуском от UID=1000 нет проблем. > > Так может он всё и исчерпал? Очень удобно, что limits не виртуализируется. -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd 2020-04-18 15:37 ` Mikhail Novosyolov 2020-04-18 17:12 ` Ivan A. Melnikov @ 2020-04-20 14:44 ` Alexey Sheplyakov 1 sibling, 0 replies; 6+ messages in thread From: Alexey Sheplyakov @ 2020-04-20 14:44 UTC (permalink / raw) To: ALT Linux Team development discussions On Sat, Apr 18, 2020 at 06:37:55PM +0300, Mikhail Novosyolov wrote: > [root@pay2 /]# strace -f su - user -c /bin/bash 2>&1 | grep bin/bash > execve("/bin/su", ["su", "-", "user", "-c", "/bin/bash"], 0x7ffccf65b4a8 /* 30 vars */) = 0 > [pid 37104] execve("/bin/bash", ["-bash", "-c", "/bin/bash"], 0x12fa9a0 /* 17 vars */) = -1 EAGAIN (Ресурс временно недоступен) Единственная ситуация, когда exec* возвращает EAGAIN -- превышение лимита RLIMIT_NPROC. Подробности описаны в `execve() and EAGAIN` в man execve [1] Кратко: когда-то давно seteeuid, setresuid со товарищи возвращали ошибку при превышении лимитов ресурсов (тем UID, на который пытались переключиться). Тем самым создавая предпосылки для дыр имени sendmail setuid [2]. Разработчики ядра решили, что сброс привилегий всегда должен работать, и перенесли проверку RLIMIT_NPROC из set*[ug]id в exec*. С тех пор exec* в случае превышения числа процессов^W потоков возвращает EAGAIN. [1] http://man7.org/linux/man-pages/man2/execve.2.html [2] https://seclists.org/bugtraq/2000/Jun/98 # strace -f -e setuid,execve su -l user -s /bin/true execve("/bin/su", ["su", "-l", "user", "-s", "/bin/true"], 0x7ffd053a22c8 /* 31 vars */) = 0 strace: Process 5089 attached [pid 5089] +++ exited with 0 +++ --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=5089, si_uid=0, si_status=0, si_utime=0, si_stime=0} --- setuid(0) = 0 strace: Process 5090 attached [pid 5090] setuid(1000) = 0 [pid 5090] execve("/bin/true", ["-true"], 0x1de9c40 /* 18 vars */) = -1 EAGAIN (Resource temporarily unavailable) su: exec failed [pid 5090] +++ exited with 1 +++ +++ exited with 1 +++ А теперь уберем лимиты: # mv /etc/security/limits.d /etc/security/limits.d.NONONO И попробуем еще раз # strace -f -e setuid,execve su -l user -s /bin/true execve("/bin/su", ["su", "-l", "user", "-s", "/bin/true"], 0x7ffd7883da48 /* 31 vars */) = 0 strace: Process 5151 attached [pid 5151] +++ exited with 0 +++ --- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=5151, si_uid=0, si_status=0, si_utime=0, si_stime=0} --- setuid(0) = 0 strace: Process 5152 attached [pid 5152] setuid(1000) = 0 [pid 5152] execve("/bin/true", ["-true"], 0x1135c40 /* 18 vars */) = 0 [pid 5152] +++ exited with 0 +++ +++ exited with 0 +++ Замечу, что в обоих случаях собственно сборс привилегий (setuid(1000)) прошел успешно. > Не. Дело не в ulimit. Возможно. Не хватает информации, чтобы сделать такой вывод (возможно, Вы поменяли зловредные настройки по умолчанию). И для обратного заключения тоже не хватает информации. Поделитесь, пожалуйста, 1) выводом strace -f -e setuid,execve su -l user -s /bin/true 2) выводом sudo -u user -i ulimit -a (в этом chroot'е) 3) содержимым /etc/security/limits.conf /etc/security/limits.d/*.conf 4) если Ваш UID в хост системе тоже 1000, то и выводом ps -T -u `whoami` | wc -l (в host системе) > В соседнем контейнере с запуском от UID=1000 нет проблем. Это именно в контейнере что-то не то. В контейнере или chroot'е? (А еще точнее, UID namespace есть?) И там ровно те же настройки (limits.d/*.conf и прочий PAM)? А запускаете одновременно оба chroot'а? ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2020-04-20 14:44 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2020-04-18 14:12 [devel] Понижение прав с root не работает в alt-p8-rootfs-systemd Mikhail Novosyolov 2020-04-18 14:23 ` Alexey Sheplyakov 2020-04-18 15:37 ` Mikhail Novosyolov 2020-04-18 17:12 ` Ivan A. Melnikov 2020-04-18 17:19 ` Vladimir D. Seleznev 2020-04-20 14:44 ` Alexey Sheplyakov
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git