Como garantir a separação do usuário em um servidor shell da velha escola

Navegue suas respostas
9

Eu quero executar um servidor shell da velha escola para algumas pessoas, ou seja. um em que os usuários obtêm acesso ssh para que eles possam executar o software (seus próprios ou fornecidos). Minha preocupação é a separação apropriada entre os usuários.

Eu não quero que eles visualizem uns aos outros processos, acessem os arquivos uns dos outros (a menos que explicitamente permitido), etc. Seria bom não ser mordido por todos os erros de escalação de privilégios ou reiniciar o servidor com cada atualização de kernel secundária. Seria perfeito manter a opção de executar serviços comuns (como web e hospedagem de email) com essas medidas de segurança em vigor.

De volta ao dia eu usei o grsec, mas isso requer ficar em um kernel antigo e lidar com o incômodo de compilá-lo sozinho. Existe uma maneira mais moderna e mais Ubuntu de garantir a separação do usuário em um servidor compartilhado?

Talvez você possa fazer algo com o AppArmor para esse efeito? Ou talvez haja um repositório de kernels pré-configurados para ambientes compartilhados? Ou uma solução baseada em contêineres? Estes estão em voga ultimamente.

    
por Damn Terminal 27.04.2016 / 13:46

1 resposta

9

hidepid

procfs no Linux agora suporta a opção hidepid . De man 5 proc : 

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

Portanto, a montagem /proc com hidepid=2 é suficiente para ocultar os detalhes dos processos de outros usuários no Linux > 3.3. O Ubuntu 12.04 vem com o 3.2 por padrão, mas você pode instalar novos kernels. O Ubuntu 14.04 e acima correspondem facilmente a este requisito.

ACLs

Como primeiro passo, remova as permissões rwx para outras pessoas de todos os diretórios home (e também para o grupo, se você precisar). Estou assumindo, é claro, que a (s) pasta (s) que contém os diretórios pessoais não tem permissões de gravação para ninguém, exceto para a raiz.

Em seguida, conceda serviços como o servidor da Web e o acesso ao servidor de e-mail aos diretórios apropriados usando ACLs. Por exemplo, para conceder ao processo do servidor da Web acesso às páginas iniciais do usuário, assumindo que www-data é o usuário e ~/public_html é onde a página inicial é mantida: 

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

Da mesma forma, adicione ACLs para os processos de email e os diretórios de caixa de correio.

As ACLs são ativadas por padrão no ext4 pelo menos no Ubuntu 14.04 e acima.

/tmp e umask

Outro problema é /tmp . Defina o umask para que os arquivos não sejam legíveis por grupos ou pelo mundo, para que os arquivos temporários dos usuários não sejam acessíveis a outros usuários.

Com essas três configurações, os usuários não devem poder acessar os arquivos de outros usuários nem examinar seus processos.

    
por muru 30.04.2016 / 11:50

Tags

Como alterar com segurança o nome do sistema operacional no menu de inicialização do grub? Por que a Unity depende do Gnome?