Làm cách nào để đảm bảo phân tách người dùng trên máy chủ vỏ trường học cũ

9

Tôi muốn chạy một máy chủ vỏ trường học cũ cho một vài người, tức là. một nơi mà người dùng có quyền truy cập ssh để họ có thể chạy phần mềm (của riêng họ hoặc được cung cấp). Mối quan tâm của tôi là sự tách biệt thích hợp giữa người dùng.

Tôi không muốn họ xem các quy trình của nhau, truy cập các tệp của nhau (trừ khi được cho phép rõ ràng), v.v. Sẽ là hoàn hảo để duy trì tùy chọn chạy các dịch vụ phổ biến (như lưu trữ web và thư) với các biện pháp bảo mật này.

Ngày trước tôi đã sử dụng grsec nhưng điều này đòi hỏi phải ở trên một kernel cũ hơn và xử lý rắc rối khi tự biên dịch nó. Có cách nào hiện đại hơn và nhiều Ubuntu hơn để đảm bảo phân tách người dùng trên máy chủ dùng chung không?

Có lẽ bạn có thể làm gì đó với AppArmor để đạt được hiệu quả đó? Hoặc có thể có một kho chứa các hạt nhân được cấu hình sẵn cho các môi trường dùng chung? Hoặc một giải pháp dựa trên container? Những điều này đã được thịnh hành gần đây.

server  kernel  ssh  security  multi-user 
Thiết bị đầu cuối chết tiệt
nguồn
Jakuje

Câu trả lời:

9

hidepid

procfstrên Linux hiện hỗ trợ hidepidtùy chọn. Từ man 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

Vì vậy, gắn /procvới hidepid=2là đủ để che giấu các chi tiết của quá trình của người dùng khác trên Linux> 3.3. Ubuntu 12.04 đi kèm với 3.2 theo mặc định, nhưng bạn có thể cài đặt các hạt nhân mới hơn. Ubuntu 14.04 trở lên dễ dàng phù hợp với yêu cầu này.

ACL

Bước đầu tiên, loại bỏ rwxquyền cho người khác khỏi mọi thư mục chính (và cho cả nhóm, nếu bạn yêu cầu). Tất nhiên, tôi giả sử rằng (các) thư mục chứa các thư mục chính không có quyền ghi cho bất kỳ ai ngoại trừ root.

Sau đó, cấp các dịch vụ như máy chủ web và máy chủ thư truy cập vào các thư mục phù hợp bằng ACL. Ví dụ: để cấp cho máy chủ web quyền truy cập vào trang chủ của người dùng, giả sử www-datalà người dùng và ~/public_htmllà nơi lưu giữ trang chủ:

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

Tương tự, thêm ACL cho các quy trình thư và thư mục hộp thư.

ACL được bật theo mặc định trên ext4 ít nhất là trên Ubuntu 14.04 trở lên.

/tmpumask

Một vấn đề khác là /tmp. Đặt umasksao cho các tệp không thể đọc được theo nhóm hoặc thế giới, để các tệp tạm thời của người dùng không thể truy cập được đối với người dùng khác.

Với ba cài đặt này, người dùng sẽ không thể truy cập các tệp của người dùng khác hoặc kiểm tra các quy trình của họ.

thầy
nguồn
2
Một thay thế hoặc bổ sung cho các tệp riêng biệt được đặt trong /tmpgói libpam-tmpdir: nó tạo ra một thư mục thuộc sở hữu gốc, không thể đọc được /tmp/uservà các thư mục không thể truy cập thuộc sở hữu của người dùng, không thể đọc được trên thế giới /tmp/user/$UIDcho mọi người dùng (lần đầu tiên đăng nhập) và đặt biến môi trường TMP_DIRđể trỏ đến cái sau. Hầu hết các chương trình chơi tốt và đặt các tập tin tạm thời của họ bên trong $TMP_DIRnếu được đặt.
David Foerster
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.