วิธีตรวจสอบให้แน่ใจว่าการแยกผู้ใช้บนเซิร์ฟเวอร์เชลล์ของโรงเรียนเก่า


9

ฉันต้องการเรียกใช้เชลล์เซิร์ฟเวอร์โรงเรียนเก่าสำหรับสองสามคนเช่น ที่หนึ่งที่ผู้ใช้เข้าถึง ssh เพื่อให้พวกเขาสามารถเรียกใช้ซอฟต์แวร์ (ของตัวเองหรือให้) ความกังวลของฉันคือการแยกที่เหมาะสมระหว่างผู้ใช้

ฉันไม่ต้องการให้พวกเขาดูกระบวนการอื่น ๆ เข้าถึงไฟล์ของกันและกัน (เว้นแต่จะได้รับอนุญาตอย่างชัดเจน) ฯลฯ มันจะดีถ้าไม่ถูกกัดโดยการเพิ่มสิทธิพิเศษทุกครั้งหรือรีสตาร์ทเซิร์ฟเวอร์พร้อมอัพเดทเคอร์เนลเล็กน้อย มันจะสมบูรณ์แบบในการรักษาตัวเลือกในการใช้บริการทั่วไป (เช่นเว็บและโฮสติ้งเมล) ด้วยมาตรการรักษาความปลอดภัยเหล่านี้

ย้อนกลับไปในวันที่ฉันใช้ grsec แต่สิ่งนี้ต้องอยู่ในเคอร์เนลเก่าและจัดการกับความยุ่งยากในการรวบรวมมันด้วยตัวเอง มีวิธี Ubuntu ที่ทันสมัยกว่าและมากขึ้นในการรับรองการแยกผู้ใช้บนเซิร์ฟเวอร์ที่ใช้ร่วมกันหรือไม่?

บางทีคุณสามารถทำบางสิ่งกับ AppArmor เพื่อให้ได้ผลนั้น หรืออาจมีที่เก็บของเมล็ดที่กำหนดค่าล่วงหน้าสำหรับสภาพแวดล้อมที่ใช้ร่วมกัน? หรือวิธีการแก้ปัญหาขึ้นอยู่กับภาชนะบรรจุ? สิ่งเหล่านี้ได้รับความนิยมเมื่อเร็ว ๆ นี้


คำตอบ:


9

hidepid

procfsบน Linux ตอนนี้รองรับhidepidตัวเลือก จากman 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

ดังนั้นการติดตั้ง/procที่มีhidepid=2ก็เพียงพอที่จะซ่อนรายละเอียดของกระบวนการของผู้ใช้อื่นบน Linux> 3.3 Ubuntu 12.04 มาพร้อมกับ 3.2 โดยค่าเริ่มต้น แต่คุณสามารถติดตั้งเมล็ดใหม่ได้ Ubuntu 14.04 ขึ้นไปตรงกับข้อกำหนดนี้ได้อย่างง่ายดาย

ACL ของ

ในขั้นตอนแรกให้ลบการrwxอนุญาตสำหรับผู้อื่นออกจากทุกโฮมไดเร็กตอรี่ (และสำหรับกลุ่มด้วยถ้าคุณต้องการ ฉันกำลังสมมติว่าโฟลเดอร์ที่มีโฮมไดเร็กตอรี่นั้นไม่มีสิทธิ์ในการเขียนสำหรับทุกคนยกเว้นรูท

จากนั้นให้บริการเช่นเว็บเซิร์ฟเวอร์และเมลเซิร์ฟเวอร์เข้าถึงไดเรกทอรีที่เหมาะสมโดยใช้ ACL ตัวอย่างเช่นเพื่อให้สิทธิ์การเข้าถึงกระบวนการเว็บเซิร์ฟเวอร์ไปยังหน้าแรกของผู้ใช้สมมติว่าwww-dataเป็นผู้ใช้และ~/public_htmlเป็นที่เก็บโฮมเพจ:

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

ในทำนองเดียวกันเพิ่ม ACLs สำหรับกระบวนการจดหมายและไดเรกทอรีกล่องจดหมาย

ACL เปิดใช้งานตามค่าเริ่มต้นใน ext4 อย่างน้อยใน Ubuntu 14.04 ขึ้นไป

/tmp และ umask

/tmpปัญหาก็คือ ตั้งค่าumaskเพื่อไม่ให้ไฟล์เป็นแบบกลุ่มหรือแบบอ่านได้ทั่วโลกเพื่อให้ผู้ใช้รายอื่นไม่สามารถเข้าถึงไฟล์ชั่วคราวของผู้ใช้ได้


ด้วยการตั้งค่าทั้งสามนี้ผู้ใช้จะไม่สามารถเข้าถึงไฟล์ของผู้ใช้รายอื่นหรือตรวจสอบกระบวนการของพวกเขา


2
อีกทางเลือกหนึ่งหรือเพิ่มเติมจากไฟล์แยกที่วางอยู่ใน/tmpแพ็คเกจlibpam-tmpdir: มันสร้างไดเรกทอรีที่/tmp/userเป็นเจ้าของไม่สามารถอ่านได้และผู้ใช้เป็นเจ้าของไดเรกทอรีที่ไม่สามารถอ่านได้และไม่สามารถเข้าถึงได้/tmp/user/$UIDสำหรับผู้ใช้ทุกคน เข้าสู่ระบบ) และตั้งค่าตัวแปรสภาพแวดล้อมTMP_DIRให้ชี้ไปที่หลัง โปรแกรมส่วนใหญ่เล่นได้ดีและวางไฟล์ชั่วคราวไว้ภายใน$TMP_DIRถ้าตั้งไว้
David Foerster
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.