OpenWrt系统安全改进 --- Web 访问权限分级

原創 发稿咋胸前 2020-06-06 14:01

摘要

OpenWrt系统安全改进<四>中介绍的只是在UI层面对用户进行访问控制,对于深层次非法操作并不能起到保护效果。本节介绍针对不同的用户登录请求,使用不同用户启动luci进程,从而实现不同用户进行操作级别的访问控制。

机制分析

web页面操作涉及到uhttpd和luci两个模块,uhttpd处理http报文,将cgi请求转给luci处理。从代码实现就可以看出这两个模块目前只是针对单用户:

1 uhttpd在初始化时,由root用户启动,在调用cgi请求时,使用execl调用luci

2 luci的cache内容只保留一份。

在本实践中,创建admin(归为root用户组)和user两个用户,当uhttpd接收到登陆请求包,判断用户是否发生变化,如果是就清除luci的cache(否则luci会执行出错),使用su启动luci进程。

准备工作

创建用户和用户组,相关的脚本(可执行文件)针对不同用户组分配不同的权限。

(注意:busybox中的ash和sh需要能够被所有用户可以执行,我采用了两份busybox,ash/sh link到所有用户可执行的busybox,其他link到只有同组用户可执行的busybox)

使能busybox的su

使能web ui的多用户登陆

具体操作可以参见OpenWrt系统安全改进<一>

实现不同用户身份执行luci

[csharp] view plaincopyprint?在CODE上查看代码片派生到我的代码片
  1. --- a/uhttpd.c 
  2. +++ b/uhttpd.c 
  3. @@ -243,6 +243,64 @@ 
  4.         return bound; 
  6.  
  7. +#ifndef MULTI_USER 
  8. +extern void MU_dbg(char *info); 
  9. +void MU_dbg(char *info) 
  10. +{ 
  11. +    #if
  12. +    int fd = open("/debug",O_RDWR|O_APPEND); 
  13. +    char buf[128] = {0}; 
  14. +    int len = strlen(info); 
  16. +    if (fd<0) { 
  17. +        fd = open("/debug",O_CREAT|O_RDWR); 
  18. +    } 
  20. +    memcpy(buf,info,len); 
  21. +    buf[len] = '\n'
  23. +    write(fd,buf,len+1); 
  24. +    close(fd); 
  25. +    #endif 
  26. +} 
  28. +static char CUR_USER[32] = {0}; 
  30. +extern void get_cur_user(char *user); 
  31. +void get_cur_user(char *user) { 
  32. +    if ( strlen(CUR_USER)==0 ) { 
  33. +        MU_dbg("CUR_USER empty"); 
  34. +        strcpy(user,"admin"); 
  35. +    } else
  36. +        memcpy(user,CUR_USER,strlen(CUR_USER)); 
  37. +    } 
  38. +} 
  40. +static void MU_get_user(const struct client *cl, char *user) { 
  41. +    char *usrhead = cl->httpbuf.ptr; 
  42. +    char *pwdhead = strfind(usrhead,strlen(usrhead),"&password=",strlen("&password=")); 
  44. +    usrhead += strlen("username="); 
  45. +    memcpy( user, usrhead, pwdhead-usrhead ); 
  47. +    MU_dbg(user); 
  48. +} 
  50. +static void MU_clear_luci_cache() { 
  51. +    int ret = 0; 
  53. +    ret = system("echo clear cache > /tmp/luci_action"); 
  54. +    ret = system("rm -Rf /tmp/luci-*"); 
  55. +    if ( ret == -1 ) { 
  56. +        system("echo fail >> /debug"); 
  57. +    } else if ( ret==0 ) { 
  58. +        system("echo ignore >> /debug"); 
  59. +    } else
  60. +        system("echo finish >> /debug"); 
  61. +    } 
  62. +} 
  63. +#endif 
  65. static struct http_request * uh_http_header_parse(struct client *cl, 
  66.                                                                                  char *buffer, int buflen) 
  68. @@ -281,7 +339,21 @@ 
  69.                 if (method && !strcmp(method, "GET")) 
  70.                         req->method = UH_HTTP_MSG_GET; 
  71.                 else if (method && !strcmp(method, "POST")) 
  72. -                       req->method = UH_HTTP_MSG_POST; 
  73. +               #ifndef MULTI_USER 
  74. +        { 
  75. +            char user[32] = {0}; 
  77. +            MU_get_user(cl,user); 
  78. +            if( strncmp(user,CUR_USER,4)!=0 ) { 
  79. +                MU_clear_luci_cache(); 
  80. +            } 
  81. +            memcpy(CUR_USER,user,32); 
  83. +            req->method = UH_HTTP_MSG_POST; 
  84. +        } 
  85. +        #else 
  86. +            req->method = UH_HTTP_MSG_POST; 
  87. +        #endif 
  88.                 else if (method && !strcmp(method, "HEAD")) 
  89.                         req->method = UH_HTTP_MSG_HEAD; 
  90.                 else 
  91. --- a/uhttpd-cgi.c 
  92. +++ b/uhttpd-cgi.c 
  93. @@ -486,12 +486,32 @@ 
  94.                         if (chdir(pi->root)) 
  95.                                 perror("chdir()"); 
  96.  
  97. +            #ifndef MULTI_USER 
  98. +            { 
  99. +                extern void get_cur_user(char *user); 
  100. +                extern void MU_dbg(char *info); 
  102. +                char user[32] = {0}; 
  103. +                char info[32] = {0}; 
  105. +                get_cur_user(user); 
  107. +                sprintf(info,"exec via %s",user); 
  108. +                MU_dbg(info); 
  110. +                if (ip!=NULL) { 
  111. +                    execl("/bin/su","su",user,"-c",ip->path,pi->phys,NULL); 
  112. +                } else
  113. +                    execl("/bin/su","su",user,"-c",pi->phys,NULL); 
  114. +                } 
  115. +            } 
  116. +            #else 
  117.                         if (ip != NULL) 
  118. -                               execl(ip->path, ip->path, pi->phys, NULL); 
  119. -                       else 
  120. +                               execl(ip->path, ip->path, pi->phys, NULL); 
  121. +            else 
  122.                                 execl(pi->phys, pi->phys, NULL); 
  124. -                       /* in case it fails ... */ 
  125. +            #endif 
  126. +            /* in case it fails ... */ 
  127.                         printf("Status: 500 Internal Server Error\r\n\r\n" 
  128.                                    "Unable to launch the requested CGI program:\n" 
  129.                                    "  %s: %s\n", ip ? ip->path : pi->phys, strerror(errno));  
--- a/uhttpd.c
+++ b/uhttpd.c
@@ -243,6 +243,64 @@
        return bound;
 }

+#ifndef MULTI_USER
+extern void MU_dbg(char *info);
+void MU_dbg(char *info)
+{
+    #if 0
+    int fd = open("/debug",O_RDWR|O_APPEND);
+    char buf[128] = {0};
+    int len = strlen(info);
+
+    if (fd<0) {
+        fd = open("/debug",O_CREAT|O_RDWR);
+    }
+
+    memcpy(buf,info,len);
+    buf[len] = '\n';
+
+    write(fd,buf,len+1);
+    close(fd);
+    #endif
+}
+
+static char CUR_USER[32] = {0};
+
+extern void get_cur_user(char *user);
+void get_cur_user(char *user) {
+    if ( strlen(CUR_USER)==0 ) {
+        MU_dbg("CUR_USER empty");
+        strcpy(user,"admin");
+    } else {
+        memcpy(user,CUR_USER,strlen(CUR_USER));
+    }
+}
+
+static void MU_get_user(const struct client *cl, char *user) {
+    char *usrhead = cl->httpbuf.ptr;
+    char *pwdhead = strfind(usrhead,strlen(usrhead),"&password=",strlen("&password="));
+
+    usrhead += strlen("username=");
+    memcpy( user, usrhead, pwdhead-usrhead );
+
+    MU_dbg(user);
+}
+
+static void MU_clear_luci_cache() {
+    int ret = 0;
+
+    ret = system("echo clear cache > /tmp/luci_action");
+    ret = system("rm -Rf /tmp/luci-*");
+    if ( ret == -1 ) {
+        system("echo fail >> /debug");
+    } else if ( ret==0 ) {
+        system("echo ignore >> /debug");
+    } else {
+        system("echo finish >> /debug");
+    }
+}
+#endif
+
 static struct http_request * uh_http_header_parse(struct client *cl,
                                                                                 char *buffer, int buflen)
 {
@@ -281,7 +339,21 @@
                if (method && !strcmp(method, "GET"))
                        req->method = UH_HTTP_MSG_GET;
                else if (method && !strcmp(method, "POST"))
-                       req->method = UH_HTTP_MSG_POST;
+               #ifndef MULTI_USER
+        {
+            char user[32] = {0};
+
+            MU_get_user(cl,user);
+            if( strncmp(user,CUR_USER,4)!=0 ) {
+                MU_clear_luci_cache();
+            }
+            memcpy(CUR_USER,user,32);
+
+            req->method = UH_HTTP_MSG_POST;
+        }
+        #else
+            req->method = UH_HTTP_MSG_POST;
+        #endif
                else if (method && !strcmp(method, "HEAD"))
                        req->method = UH_HTTP_MSG_HEAD;
                else
--- a/uhttpd-cgi.c
+++ b/uhttpd-cgi.c
@@ -486,12 +486,32 @@
                        if (chdir(pi->root))
                                perror("chdir()");

+            #ifndef MULTI_USER
+            {
+                extern void get_cur_user(char *user);
+                extern void MU_dbg(char *info);
+
+                char user[32] = {0};
+                char info[32] = {0};
+
+                get_cur_user(user);
+
+                sprintf(info,"exec via %s",user);
+                MU_dbg(info);
+
+                if (ip!=NULL) {
+                    execl("/bin/su","su",user,"-c",ip->path,pi->phys,NULL);
+                } else {
+                    execl("/bin/su","su",user,"-c",pi->phys,NULL);
+                }
+            }
+            #else
                        if (ip != NULL)
-                               execl(ip->path, ip->path, pi->phys, NULL);
-                       else
+                               execl(ip->path, ip->path, pi->phys, NULL);
+            else
                                execl(pi->phys, pi->phys, NULL);
-
-                       /* in case it fails ... */
+            #endif
+            /* in case it fails ... */
                        printf("Status: 500 Internal Server Error\r\n\r\n"
                                   "Unable to launch the requested CGI program:\n"
                                   "  %s: %s\n", ip ? ip->path : pi->phys, strerror(errno));

实现admin执行UCI修改

完成上步操作后,使用不同用户登录可以根据用户执行LuCI,但是admin和user都只能查询UCI相关的一些配置,而我期望的admin能够修改配置。

经过一些尝试,发现仅仅为admin赋予uci的执行权限和相关配置文件的写权限扔不能执行UCI修改操作(uci set/commit)。

我希望修改的配置是通过UCI Map来进行修改的,修改usr/lib/lua/luci/cbi.lua文件的Map.set和Map.parse,使用su权限来执行uci set 和 commit。

后续工作

目前实现虽然支持了多用户的操作权限控制,但是对于用户切换时访问效率低,后续可以修改luci,针对每个用户创建一份cache。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Openclash虚焊clash

今天的OpenClash上網總是掛球,搗鼓了大半天,包括     1、跟Clash for windows的比較分析     2、設置dns     3、重置OpenWRT並重新配置OpenClash 還是不行 最後發現,在OpenCLas

原創 2022-04-30 09:48:43

用于嵌入式计算的流行Linux发行版

在嵌入式系統中工作的嵌入式開發人員需要一個易於使用且易於爲其特定硬件定製的發行版。以下是一些最著名的嵌入式計算Linux發行版。然而,這些發行版都沒有標準化的“產品更新就緒”方法。如果這是必需的,你需要自己動手。 在嵌入式系統

Linux就該這麼學 2021-12-27 09:20:02

openwrt编译 -- 搭建属于自己的openwrt的开发环境

系統版本:ubuntu 16.04 LTS 64bits 零、流程化、標準化的步驟,光明的大道往前走 1、先從github clone下來 HTTPS : git clone https://git.openwrt.org/openw

osc_h9fpkpv6 2021-12-25 21:43:14

迅为瑞芯微iTOP-3399开发板资料更新

iTOP-3399開發板使用手冊更新啦,最新版本爲2.3版本。與開發板使用手冊配套的《嵌入式Linux開發指南(iTOP-3399)》手冊也更新啦,最新版本爲1.4版本。 後續資料會不斷更新,不斷完善,幫助用戶快速入門,大大提升研發速

原創 2021-12-25 21:27:35

最新版OpenWrt编译教程,解决依赖问题

最新版OpenWrt編譯教程,解決依賴問題 參考文章: (1)最新版OpenWrt編譯教程,解決依賴問題 (2)https://www.cnblogs.com/jzssuanfa/p/7400840.html (3)https://www

技術盛宴 2021-07-16 21:27:01

网络工程师,不需要学Linux?

自從2年前畢業開始工作起,越發感覺學習壓力比上學時還大,爲了完成工作任務一直在填補自己的知識漏洞。從最開始幹基礎的路由交換網絡而學習思科與華爲的NA和NP,到後面涉及到雲業務時而學習雲計算,然後接觸到廣域網而學習更高級的網絡知識,還有在工作

原創 2021-02-18 21:13:43

利用openwrt编译添加zabbix_proxy3.4.10

1.代碼包 解壓 修改文件夾3.4.6名字爲 3.2.6 ,然後壓縮打包 放到dl2.mkpackage zabbix ,然後.config 報錯,取消 zabbix-server 編譯選項3..config 依舊報錯 根據報錯 編譯li

osc_lg0msmnd 2021-02-07 09:27:02

Openwrt 串口透传ser2net 详细步骤带调试过程

Openwrt 串口透傳ser2net1、openwrt18.01以上版本luci已經支持ser2net2、編譯固件過程中選擇:luci->applications->luci-app-se2net;當選中這個之後network->se2

osc_79jqvlyt 2021-02-05 09:23:58

给原版的openwrt安装Passwall

要求原版和極致精簡的OpenWRT,自己動手安裝自己需要的插件。 1.官網下載最新的OpenWRT: Current Stable Release - OpenWrt 19.07.5: https://downloads.openwrt.

osc_bzc91lgy 2021-01-30 11:11:55

路由 + 5G + WIFI + LoRa + VPN + AI 一体机来了

近期,華辰連科基於行業主流 uCPE 硬件平臺,並結合企業在邊緣設備上的核心應用,發佈了 AI 智能網關整體解決方案。該解決方案將以網絡處理見長的邊緣側傳統智能接入網關,融合 AI 推理能力,將 AI 算力推向網絡終端,可提供從驅動、操作系

osc_s2b5kacl 2021-01-30 10:50:07

Newifi mini (Lenovo-Y1)刷openwrt PandoraBox教程

openwrt是一個嵌入式的linux系統。用於路由器的底層系統,很多路由器都有相關適配。 小岑最近入手了一款聯想的newifi mini路由器,可是原生系統並不如人意,存在許多bug,同時穩定性較差 ,遂考慮刷成openwrt 以下是小

osc_4dki3x9l 2021-01-30 10:06:50

阿里云+OpenWRT+OPEN***搭建远程运维平台

Open***組網步驟一、基於ubuntu 16.04的open***的搭建(1)服務端防火牆配置打開1194端口(2)easy-rsa安裝sudo apt-get -y install easy-rsa(3)Open***的安裝與配置s

osc_7slii3nj 2021-01-30 10:00:50

openwrt更换原有Linux内核版本

1;將openwrt14.07中的內核版本從3.10.49更換成3.10.102 a;更改文件include/kernel-version.mk b;修改文件​target/linux/<路由器架構> 下的Makefile,將KERNEL

flexman09 2020-07-07 10:50:08

网件R7800刷OpenWrt固件单臂路由设置经历

首先感謝恩山xytb、digicr、puppywang、LUOZHIXIU等壇友的帖子讓我對單臂路由有了一些初步的瞭解,同時感謝Lean大、燈大、H大等開發了OpenWrt、Padavan老毛子等好用的固件,讓我等小白有了折騰的機會。 先

engineerlzk 2020-07-07 02:46:52

TP-LINK_841N_V8路由器硬改升级OpenWRT记

TP-LINK_841N這款路由器還是tplink家族中比較經典的一款,硬件版本可查到的從V3開始到V12,每個版本或CPU不一致,或RAM、Flash大小不一致,而且更坑的是,國內版本和國外版本Ram、Flash大小還不一樣。大概參數

杭州_燕十三 2020-07-05 15:02:37