Cara memastikan pemisahan pengguna pada server shell sekolah lama


9

Saya ingin menjalankan server shell sekolah lama untuk beberapa orang, yaitu. di mana pengguna mendapatkan akses ssh sehingga mereka dapat menjalankan perangkat lunak (sendiri atau disediakan). Kekhawatiran saya adalah pemisahan yang tepat antara pengguna.

Saya tidak ingin mereka melihat satu sama proses lainnya, mengakses file masing-masing (kecuali diizinkan secara eksplisit), dll. Akan lebih baik untuk tidak digigit oleh setiap bug eskalasi hak istimewa atau memulai kembali server dengan setiap pembaruan kernel kecil. Akan sempurna untuk mempertahankan opsi menjalankan layanan umum (seperti web dan hosting email) dengan langkah-langkah keamanan ini di tempat.

Kembali pada hari saya menggunakan grsec tetapi ini membutuhkan tetap pada kernel yang lebih tua dan berurusan dengan kerumitan kompilasi sendiri. Apakah ada cara Ubuntu yang lebih modern dan lebih memastikan pemisahan pengguna pada server bersama?

Mungkin Anda bisa melakukan sesuatu dengan AppArmor untuk efek itu? Atau mungkin ada repositori kernel yang sudah dikonfigurasi untuk lingkungan bersama? Atau solusi berdasarkan wadah? Ini telah menjadi mode akhir-akhir ini.


Jawaban:


9

hidepid

procfsdi Linux sekarang mendukung hidepidopsi. Dari man 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

Jadi, pemasangan /procdengan hidepid=2cukup untuk menyembunyikan detail proses pengguna lain di Linux> 3.3. Ubuntu 12.04 hadir dengan 3.2 secara default, tetapi Anda dapat menginstal kernel yang lebih baru. Ubuntu 14.04 dan di atas dengan mudah cocok dengan persyaratan ini.

ACL

Sebagai langkah pertama, hapus rwxizin untuk orang lain dari setiap direktori home (dan untuk grup juga, jika Anda memerlukannya). Saya berasumsi, tentu saja, bahwa folder yang berisi direktori home tidak memiliki izin menulis kepada siapa pun kecuali root.

Kemudian, berikan layanan seperti server web dan server surat akses ke direktori yang sesuai menggunakan ACL. Misalnya, untuk memberikan akses proses server web ke halaman beranda pengguna, dengan anggapan www-dataadalah pengguna dan ~/public_htmltempat halaman beranda disimpan:

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

Demikian pula, tambahkan ACL untuk proses surat dan direktori kotak surat.

ACL diaktifkan secara default pada ext4 setidaknya pada Ubuntu 14.04 ke atas.

/tmp dan umask

Masalah lainnya adalah /tmp. Atur umaskagar file tidak dapat dibaca kelompok atau dunia, sehingga file sementara pengguna tidak dapat diakses oleh pengguna lain.


Dengan ketiga pengaturan ini, pengguna seharusnya tidak dapat mengakses file pengguna lain, atau memeriksa proses mereka.


2
Alternatif atau tambahan untuk file-file terpisah yang ditempatkan /tmpadalah paket libpam-tmpdir: paket ini menciptakan direktori yang dimiliki oleh root, tidak dapat dibaca oleh dunia /tmp/userdan direktori yang dimiliki pengguna, tidak dapat dibaca dunia, tidak dapat dilintasi-dunia /tmp/user/$UIDuntuk setiap pengguna (berdasarkan yang pertama log-in) dan set variabel lingkungan TMP_DIRuntuk menunjuk ke yang terakhir. Sebagian besar program bermain bagus dan menempatkan file sementara mereka di dalam $TMP_DIRjika diatur.
David Foerster
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.