So stellen Sie die Benutzertrennung auf einem Shell-Server der alten Schule sicher

9

Ich möchte einen Old-School-Shell-Server für ein paar Leute betreiben, dh. Eine, bei der Benutzer SSH-Zugriff erhalten, damit sie Software ausführen können (ihre eigene oder bereitgestellte). Mein Anliegen ist eine angemessene Trennung zwischen den Benutzern.

Ich möchte nicht, dass sie sich gegenseitig Prozesse anzeigen, auf die Dateien des anderen zugreifen (sofern dies nicht ausdrücklich erlaubt ist) usw. Es wäre schön, nicht von jedem Eskalationsfehler bei Berechtigungen gebissen zu werden oder den Server bei jedem kleineren Kernel-Update neu zu starten. Es wäre perfekt, die Option beizubehalten, gemeinsame Dienste (wie Web- und E-Mail-Hosting) mit diesen Sicherheitsmaßnahmen auszuführen.

Früher habe ich grsec verwendet, aber dazu muss man auf einem älteren Kernel bleiben und sich mit dem Aufwand befassen, ihn selbst zu kompilieren. Gibt es eine modernere und Ubuntu-Methode, um die Benutzertrennung auf einem gemeinsam genutzten Server sicherzustellen?

Vielleicht können Sie mit AppArmor etwas in diesem Sinne tun? Oder gibt es ein Repository mit Kerneln, die für gemeinsam genutzte Umgebungen vorkonfiguriert sind? Oder eine Lösung basierend auf Containern? Diese waren in letzter Zeit in Mode.

Verdammtes Terminal
quelle
Docker
Jakuje

Antworten:

9

hidepid

procfsunter Linux unterstützt jetzt die hidepidOption. Von man 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

Das Mounten /procmit hidepid=2reicht also aus, um die Details der Prozesse anderer Benutzer unter Linux> 3.3 zu verbergen. Ubuntu 12.04 wird standardmäßig mit 3.2 geliefert, Sie können jedoch neuere Kernel installieren. Ubuntu 14.04 und höher erfüllen diese Anforderung problemlos.

ACLs

Entfernen Sie als ersten Schritt die rwxBerechtigungen für andere aus jedem Basisverzeichnis (und bei Bedarf auch für Gruppen). Ich gehe natürlich davon aus, dass die Ordner, die die Home-Verzeichnisse enthalten, keine Schreibberechtigungen für irgendjemanden außer root haben.

Gewähren Sie dann Diensten wie dem Webserver und dem Mailserver mithilfe von ACLs Zugriff auf die entsprechenden Verzeichnisse. Um dem Webserver beispielsweise Zugriff auf die Benutzerhomepages zu gewähren, wird davon ausgegangen, dass www-dataes sich um den Benutzer handelt und ~/public_htmlwo sich die Homepage befindet:

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

Fügen Sie in ähnlicher Weise ACLs für die Mailprozesse und die Postfachverzeichnisse hinzu.

ACLs sind standardmäßig unter ext4 aktiviert, zumindest unter Ubuntu 14.04 und höher.

/tmp und umask

Ein weiteres Problem ist /tmp. umaskStellen Sie das so ein, dass Dateien nicht für Gruppen oder die Welt lesbar sind, sodass die temporären Dateien der Benutzer anderen Benutzern nicht zugänglich sind.


Mit diesen drei Einstellungen sollten Benutzer nicht auf die Dateien anderer Benutzer zugreifen oder ihre Prozesse untersuchen können.

muru
quelle
2
Eine Alternative oder Ergänzung zu separaten Dateien, die abgelegt werden, /tmpist das Paket libpam-tmpdir: Es erstellt für jeden Benutzer ein Root- eigenes , nicht für die Welt lesbares Verzeichnis /tmp/userund /tmp/user/$UIDfür jeden Benutzer im Besitz des Benutzers, nicht für die Welt lesbare, nicht für die Welt durchlaufbare Verzeichnisse log-in) und setzt die Umgebungsvariable so, dass TMP_DIRsie auf letztere verweist. Die meisten Programme spielen gut und platzieren ihre temporären Dateien, $TMP_DIRfalls festgelegt.
David Foerster