如何防止`fusermount -u` 无权限卸载文件系统？

2024-07-12 01:07:27

如何防止 fusermount -u 在无权限情况下卸载文件系统

你是否正在开发一个需要严格控制文件访问权限的文件系统？你是否担心恶意用户会通过 fusermount -u 强制卸载你的文件系统，从而绕过你精心设计的安全策略？

本文将深入探讨如何解决这个问题，并提供具体的代码示例来帮助你保护文件系统，使其免受未经授权的卸载操作。

假设你正在使用 libfuse 开发一个特殊用途的文件系统。该系统对文件访问有严格的控制要求，例如，某些目录只能由特定用户或组访问。为了实现这一点，你可能创建了一个带有 setgid 位的可执行文件，允许用户以其自身的用户身份挂载文件系统，然后通过更改组 ID 来访问受保护的目录。

一切看似完美，但你很快发现了一个安全漏洞：恶意用户可以使用 fusermount -u 命令强制卸载你的文件系统，完全无视你的安全限制。例如，如果用户将受保护的目录挂载到 ~/bin，攻击者可以将其卸载，然后在 ~/bin 中写入自定义的可执行文件，从而获得系统控制权。

问题的根源在于 libfuse 处理卸载请求的方式。默认情况下，libfuse 使用 fuse_set_signal_handlers() 函数来处理信号，包括 SIGINT 和 SIGTERM，而这些信号会导致文件系统卸载。攻击者正是利用了这一点，他们可以向文件系统进程发送这些信号，从而强制卸载文件系统。

为了封堵这个漏洞，我们需要修改 libfuse 的默认行为，使其在卸载文件系统之前进行必要的权限检查。具体来说，我们需要移除 fuse_set_signal_handlers() 函数，并使用自定义的循环来处理卸载请求。

以下代码展示了如何实现这一点：

// 移除以下代码
// if (fuse_set_signal_handlers(session) != 0) {
//   goto end1;
// }

// 使用自定义循环处理卸载请求
do {
  (void) fuse_session_loop_mt(session, &config);
} while (!grant_access(OP_UNMOUNT, NULL, NULL));

// 当 grant_access() 返回 true 时，允许卸载
fuse_session_unmount(session);
fuse_session_destroy(session);

在上面的代码中，我们创建了一个无限循环，不断调用 fuse_session_loop_mt() 函数来处理文件系统操作。在每次循环迭代中，我们调用 grant_access() 函数来检查用户是否有权卸载文件系统。

grant_access() 函数是你需要根据自身安全策略自定义的函数。它应该根据操作类型、文件路径和上下文信息来判断用户是否有权执行特定的操作。

在这个例子中，我们只检查了 OP_UNMOUNT 操作，但你可以根据需要添加其他操作的权限检查，例如创建文件、写入文件等等。

以下是一个简单的 grant_access() 函数示例，它只允许 root 用户卸载文件系统：

bool grant_access(int op, const char *path, void *context) {
  if (op == OP_UNMOUNT) {
    return (getuid() == 0); // 只允许 root 用户卸载
  }
  // 其他操作，根据需要进行权限检查
  return true;
}