背景:ima-evm-utilsでlgetxattr()が期待値を返すことができないことがわかりました。これを確認するために、単純なCプログラムを書いています。
#include <sys/types.h>
#include <sys/xattr.h>
#include <stdio.h>
int main(){
char xattr_value[1024];
int size;
size=lgetxattr("/bin/tcpm", "security.capability", xattr_value, sizeof(xattr_value));
printf("caps: %s\n", &xattr_value);
printf("%d\n",size);
size=lgetxattr("/bin/tcpm", "security.selinux", xattr_value, sizeof(xattr_value));
printf("selinux: %s\n", &xattr_value);
printf("%d\n",size);
return 0;
}
[root@localhost ~]# ./a.out
caps:
20
selinux: system_u:object_r:bin_t:s0
27
[root@localhost ~]# getcap /bin/tcpm
/bin/tcpm cap_net_bind_service,cap_net_admin=ep
[root@localhost ~]# getfattr -m - -d /bin/tcpm
getfattr: Removing leading '/' from absolute path names
# file: bin/tcpm
security.capability=0sAQAAAgAUAAAAAAAAAAAAAAAAAAA=
security.selinux="system_u:object_r:bin_t:s0"
-1以外のサイズはlgetxattr()は成功しましたが、xattr_valueが期待値ではないことを意味します。
gdb ima-evm-utilsを試してみてください:#err = lgetxattr()を返す
(gdb) p err
$6 = 20
(gdb) p xattr_value
$7 = "\000\000\000\002\000 ", '\000' <repeats 14 times>, "P\261\037&@&^\a\022\274fOT\031", '\000' <repeats 294 times>...
(gdb) p err
$8 = 27
(gdb) p xattr_value
$9 = "system_u:object_r:bin_t:s0", '\000' <repeats 302 times>...
質問のソースコード:
for (xattrname = evm_config_xattrnames; *xattrname != NULL; xattrname++) {
err = lgetxattr(file, *xattrname, xattr_value, sizeof(xattr_value));
if (err < 0) {
log_info("no xattr: %s\n", *xattrname);
continue;
}
if (!find_xattr(list, list_size, *xattrname)) {
log_info("skipping xattr: %s\n", *xattrname);
continue;
}
log_info("name: %s, size: %d\n", *xattrname, err);
log_debug_dump(xattr_value, err);
err = !HMAC_Update(pctx, xattr_value, err);
if (err) {
log_err("HMAC_Update() failed\n");
goto out_ctx_cleanup;
}
}
答え1
getxattr または lgetxattr は実際にはバイナリ能力値を取得します。
[root@localhost ~]# strace -e getxattr getfattr -d -m - /bin/tcpm
getxattr("/bin/tcpm", "security.capability", NULL, 0) = 20
getxattr("/bin/tcpm", "security.capability", "\0\0\0\2\0 \0\0\0\0\0\0\0\0\0\0\0\0\0", 256) = 20