Batasi pengguna Linux ke file yang dimilikinya

Bayangkan pengaturan server dari perusahaan webhosting bersama di mana banyak (~ 100) pelanggan memiliki akses shell ke satu server.

Banyak "perangkat lunak" web merekomendasikan untuk chmod file 0777 . Saya khawatir tentang pelanggan kami yang secara tidak bijaksana mengikuti tutorial ini, membuka file mereka untuk pelanggan kami yang lain. (Saya tentu saja tidak menggunakan cmod 0777sendiri secara tidak perlu!) Apakah ada metode untuk memastikan bahwa pelanggan hanya dapat mengakses file mereka sendiri dan mencegah mereka mengakses file yang dapat dibaca dunia dari pengguna lain?

Saya melihat ke AppArmor , tapi itu sangat erat dengan proses, yang tampaknya gagal di lingkungan itu.

Letakkan direktori yang terbatas dan tidak dapat diubah antara dunia luar dan file yang dilindungi, mis

/
 ├─ bin
 ├─ home
 │  └─ joe <===== restricted and immutable
 │     └─ joe <== regular home directory

atau /home/joe/restricted/public_html.

Dibatasi artinya hanya pengguna dan mungkin server web yang dapat membacanya (mis. Mode 0700/ 0750atau ACL ).

Kekekalan dapat dilakukan dengan chattr +iatau dengan mengubah kepemilikan menjadi sesuatu seperti root:joe.

Cara mudah untuk menciptakan hirarki pada Ubuntu akan mengedit /etc/adduser.confdan set GROUPHOMESke yes.

Ada opsi yang mungkin ingin Anda pertimbangkan (tergantung seberapa banyak pekerjaan yang ingin Anda lakukan untuk itu).

Seperti yang sudah diposkan orang lain, "biasanya" Anda tidak dapat mencegah seseorang dengan akses shell untuk membaca file yang dapat dibaca dunia.

Namun Anda dapat mem-chrootnya ke rumah mereka sendiri, pada dasarnya membatasi akses shell ke, pertama, hanya direktori root yang Anda inginkan (AKA direktori home) dan, kedua, mencegah pengguna untuk mengeksekusi semua yang Anda tidak ingin mereka lakukan.

Saya melakukan pendekatan serupa ketika saya memiliki satu pengguna untuk memiliki akses ke file web, tetapi saya tidak ingin dia melihat file lain di luar folder web.

Ini memang memiliki banyak overhead, berantakan untuk diatur, dan setiap kali saya memperbarui sesuatu, itu rusak.

Tetapi untuk hari ini saya pikir Anda dapat mencapainya dengan mudah dengan opsi chroot OpenSSH :

WikiBooks OpenSSH

Saya telah menemukan Daftar Kontrol Akses POSIX memungkinkan Anda, sebagai administrator sistem, untuk melindungi pengguna Anda dari yang terburuk dari ketidaktahuan mereka sendiri, dengan mengesampingkan izin sistem file grup-pengguna-lainnya yang biasa, tanpa banyak peluang untuk memecahkan sesuatu yang penting .

Mereka dapat sangat berguna jika Anda (fi) membutuhkan direktori home agar dapat diakses dunia karena konten web harus dapat diakses untuk apache di ~/public_html/. (Meskipun dengan ACL sekarang Anda dapat melakukan sebaliknya, hapus akses untuk semua dan gunakan ACL efektif spesifik untuk pengguna apache.)

Ya, pengguna yang berpengetahuan dapat menghapus / menimpa mereka lagi, hanya cukup biasa bahwa itu tidak mungkin, dan para pengguna yang biasanya tidak mudah untuk chmod -R 777 ~/melakukannya, kan?

Anda perlu me-mount sistem file dengan aclopsi mount:

 mount -o remount,acl /home

Dalam banyak distribusi, standarnya adalah untuk membuat grup pengguna, setiap pengguna memiliki grup utama mereka, dan saya telah menetapkan semua pengguna dalam grup sekunder dengan nama tidak imajinatif users.

Menggunakan ACL sekarang sepele untuk mencegah pengguna lain mengakses direktori home:

Sebelum:

 chmod 0777 /home/user* 

 ls -l /home/user*
 drwxrwxrwx.  2 user1  user1  4096 Jul 11 15:40 user1
 drwxrwxrwx.  2 user2  user2  4096 Jul 11 15:24 user2

Sekarang atur izin direktori yang efektif untuk anggota usersgrup menjadi 0tidak baca, tulis atau akses:

 setfacl setfacl -m g:users:0 /home/user*

 ls -l 
 drwxrwxrwx+  2 user1  user1  4096 Jul 11 15:40 user1
 drwxrwxrwx+  2 user2  user2  4096 Jul 11 15:24 user2

The +tanda menunjukkan kehadiran pengaturan ACL sana. Dan getfacldapat mengkonfirmasi bahwa:

getfacl /home/user1
getfacl: Removing leading '/' from absolute path names
# file: home/user1
# owner: user1
# group: user1
user::rwx
group::rwx
group:users:---
mask::rwx
other::rwx

The group:users:---menunjukkan bahwa kelompok efektif tidak memiliki hak akses, meskipun izin reguler untuk makhluk lainother::rwx

Dan pengujian sebagai user1:

[user1@access ~]$ ls -la /home/user2
ls: cannot open directory /home/user2: Permission denied

Solusi umum kedua pada sistem bersama adalah memiliki direktori home mount automounter atas permintaan server yang didedikasikan untuk akses shell. Itu jauh dari bukti bodoh, tetapi biasanya hanya segelintir pengguna akan login bersamaan yang berarti hanya direktori home dari para pengguna yang terlihat dan dapat diakses.

Linux Containers (LXC) dapat menjadi kombinasi terbaik dari chroot dan sistem terpisah.

1. Mereka lebih seperti chroot canggih, bukan virtualisasi, tetapi Anda bisa menggabungkan sistem operasi yang berbeda dalam satu server.

2. Anda dapat memberikan pengguna sistem operasi yang lengkap dan chroot di sana, jadi ketika pengguna masuk, ia pergi ke wadahnya. Dan Anda juga dapat membatasi penggunaan prosesor dan memori di sana.

Stéphane Graber, penulis LXC, memiliki tutorial yang bagus untuk membantu Anda memulai.

Misalnya, jika Anda ingin pengguna hanya memiliki akses ke homedirektori sendiri , Anda harus melakukan:

cd /home
sudo chmod 700 *

Sekarang /home/usernamehanya dapat dilihat oleh pemiliknya. Untuk menjadikan ini default untuk semua pengguna baru, edit /etc/adduser.confdan atur DIR_MODEke 0700sebagai ganti 0755default.

Tentu saja jika Anda ingin mengubah DIR_MODE default, itu tergantung pada distribusi Anda, yang saya posting berfungsi Ubuntu.

sunting

Seperti @Dani_l sebutkan dengan benar, jawaban ini benar untuk membuatnya BUKAN dunia dibaca.

Hanya untuk menjadi bertele-tele - Tidak, tidak ada.
@Marek memberikan jawaban yang benar , tetapi pertanyaan Anda salah - Anda tidak dapat mencegah siapa pun mengakses file "dapat dibaca dunia".
Entah itu bisa dibaca dunia, atau tidak. @ Marek jawaban benar dalam membuat mereka TIDAK dapat dibaca dunia.

Saya tidak melihat 'shell terbatas' dalam jawaban yang diberikan sejauh ini.

ln / bin / bash / bin / rbash

Jadikan ini sebagai shell login mereka.

Jika server web berjalan sebagai pengguna dan grup yang sama untuk setiap domain yang diinangi, sulit (jika bukan tidak mungkin) untuk membuat pengaturan aman.

Anda ingin file tertentu dapat diakses oleh pengguna serta server web, tetapi tidak untuk pengguna lain. Tetapi begitu server web dapat mengaksesnya, pengguna lain dapat membacanya dengan meletakkan symlink ke file di dalam situs web mereka sendiri.

Jika Anda dapat membuat setiap situs web dijalankan sebagai pengguna yang terpisah, maka itu menjadi cukup sederhana. Setiap pelanggan sekarang akan memiliki dua pengguna pada sistem, satu untuk server web dan satu untuk akses shell.

Buat grup yang berisi dua pengguna ini. Sekarang buat direktori dengan grup itu dan root pengguna. Direktori itu harus memiliki izin 750, yang berarti root memiliki akses penuh dan grup telah membaca dan mengeksekusi akses. Di dalam direktori itu Anda bisa membuat direktori home untuk masing-masing dari dua pengguna. Ini berarti direktori home pengguna tidak lagi memiliki formulir /home/username, melainkan sesuatu dengan setidaknya satu komponen direktori lagi. Ini bukan masalah, tidak ada yang membutuhkan direktori home untuk dinamai sesuai dengan konvensi tertentu.

Menjalankan situs web dengan pengguna dan grup yang berbeda mungkin rumit, jika Anda menggunakan vhost berbasis nama. Jika ternyata Anda hanya dapat membuat pemisahan berfungsi dengan vhost berbasis IP, dan Anda tidak memiliki cukup IP untuk setiap situs, Anda dapat meng-host setiap situs web pada alamat IPv6 dan meletakkan proxy terbalik untuk semua itu pada sebuah Alamat IPv4.